22:38
29/11/2012

Czyżby powrót Armaged0na? Ta sama socjotechnika, te same narzędzia, te same domeny…


Return-Path:
Received: by o2.pl (o2.pl mailsystem) with LMTP;
Thu, 29 Nov 2012 19:54:39 +0100
Received: from v111836.home.net.pl [188.128.132.76]
by mx4.go2.pl with ESMTP id vYKMWW;
Thu, 29 Nov 2012 19:54:39 +0100
Received-SPF: pass (mx4.go2.pl: domain of alamala@home.pl
designates 188.128.132.76 as permitted sender)
Date: Thu, 29 Nov 2012 18:41:52 -0000
Message-ID: <20121129184152.29584.qmail@home.pl>
To:
Subject: Twoje Konto PayPal Mogło Ulec Włamaniu
MIME-Version: 1.0
Content-type: text/html; charset=utf-8
From: service@paypal.pl
Reply-To: service@paypal.pl
Cc: service@paypal.pl
X-O2-Trust: 3, 43
X-O2-SPF: pass
Drogi Użytkowniku!

Ta wiadomość została wysłana do Ciebie automatycznie.
Najprawdopodobniej ktoś chciał włamać się na Twoje konto w serwisie PayPal
Aby do tego nie dopuścić tymczasowo zablokowaliśmy Twoje konto.
Należy udać się pod Adres http://ssl-paypal.tk
Aby w pełni bezpiecznie odzyskać swoje konto
Postępuj zgodnie z instrukcjami zawartymi na stronie.
Z Poważaniem Grupa PayPal

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

17 komentarzy

Dodaj komentarz
  1. >.tk
    On jest niemożliwy :D

    • No właśnie, poza tym zakup takiej domeny dla niego opłacałby się tylko w Tokelau (w Polsce za drogo).

  2. Wtyczka Java wymaga uruchomienia :)

    • Tu są ciekawsze rzeczy pochodzące od tego samego autora: http://stream-pro.com/

    • Whois:
      > eowsrog werooero
      > 42 paradise street
      > Macclesfield
      > PA
      > sk11 8qn
      > US
      > Phone: +1.07761261242
      > Email Address: rob-cav@live.co.uk

      Seems legit…

  3. Hmmm… dlaczego twórcy takich numerów nie robią tego porządnie? “Twoje Konto PayPal Mogło Ulec Włamaniu”… Z Pewnością Każda Firma Tak Tytułuje Swoje Maile :-). “Z Poważaniem Grupa PayPal” – a nie lepiej “Andrzej Nowak, Sekcja Intendentury Monitoringu, Dział Bezpieczeństwa i Administracji Serwisowej”? No i to “konto uległo włamaniu” a potem “aby do tego nie dopuścić”. To w końcu nie wiem – ktoś się włamał czy jednak nie? Trolować też trzeba umieć.

  4. Tu jakies smieszne domeny tk, a stronke ze swoimi hakierstwami na .com. I jak zwykle ten aplet javy… True anon normalnie!

  5. Czy ktos moglby wytlumaczyc, czemu ten email przeszedł, skoro widać w nagłówkach jakiś SPF, który teoretycznie powinien eliminować wiadomosci, ktorych nadawcy podszywaja sie pod adres w jakiejs domenie (tu paypal.pl)?

    • Wystarczy, że serwer SMTP z którego wysyła się wiadomość nie obsługuje lub ma wyłączone SPF i można łatwo to podrobić. Wiem, bo dostałem parę maili od “Blizzarda” (z adresu @battle.net) z prośbą o reaktywację konta Diablo3 gdyż łamie ono Terms Of Service/próbowano się na nie włamać (różne wersje). Problem tylko taki że nigdy tam konta nie miałem, a w Diablo3 nie grałem i nie zamierzam (nie lubię hack’n’slashy)…

    • Podczas przesylania emaila adres nadawcy podawany jest fwa razy. Pierwszy na poziomie sesji SMTP a drugi raz przy transmisji samego maila (umieszczony w naglowku). W tym przypadku widzimy tylko naglowki i nie wiemy jaki byl envelope sender. Z tego co wiem SPF sprawdza envelope nie naglowki.

  6. No coż – home.pl powoli wyrasta na globalna firme od phishingu… PS: Ciekawe co oni na to…

  7. Purro o kopercie w smtp słyszałeś? Przecież widać że nadawca na kopercie jest alamala@home.pl i mail wysłany z delegowanego serwera dla tej domeny wiec dla spf wszystko w porzadku. A we From: to cokolwiek może być przecież, nie ma znaczenia dla spf.

  8. nie to, żebym się czepiał, ale w tym newsie na linkblogu nie ma linka na zewnątrz, tylko cały news :P
    więc chyba powinien być w głównej sekcji… Chyba, że celowo nie chcecie go tym nobilitować :)

    • Ileż można pisać na głównej o kampaniach robionych na jedno kopyto? Linkujemy w pointerze, bo Ci, których security interesuje zawodowo go czytaja – więc niech mają sygnał, że Armaged0n nie śpi – ale skoro brak innowacji, to nie sądzę, że ta wiadomość nadaje sie dla “ogółu” na głównej :)

  9. Tak czy owak, ostało powiadomione Allegro, Paypal, Home.pl, administratorzy domen tk i uni.me, oraz Google. Najlepiej sobie dodać te adresy do firewalla i filtra antyspamowego. Obydwie domeny wyłudzające pochodzą z czech. http://ssl-paypal.tk – 93.170.52.31, 93.170.52.21 http://www.ssl-allegro.uni.me 82.208.40.4

  10. Ja dziś dostałem dwie takie wiadomości, że zablokowali mi facebooka , przedwczoraj dostalem dwie, że zablokowali mi allegro oraz paypal :P

  11. […] i okazuje się, że Armaged0n dokładnie czyta Niebezpiecznika i bierze sobie rady naszych czytelników do serca… […]

Odpowiadasz na komentarz michał

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: