A yahoo hálózatából egy adathalász levelet kaptam, amely személyes adatokat próbál meg kicsalni a felhasználóktól.

Aki még nem látott ilyet, annak legyen gyanús rögtön a levél nyelvezete: a hekkerek valószínűleg a Google fordítóját eresztették rá az spam angol eredetijére, annak meg beletört a bicskája a magyar nyelvbe.

A másik gyanús dolog az, ha a levél feladója személyes adatokat (név, jelszó, stb.) kér emailben. Sose adjunk meg ilyen infot levélben, még ha a bankunk is kérné, akkor sem.

Érdemes megnézni a levél fejlécét, amiből kiderül, hogy a levél nem a xxxx.hu domainből jött, hanem a yahoo n+1-dik gépéről, és nem az xxxx.hu webmail-ről.

Végül, ha valaki utánaz néz a Google-ben, hogy mi az a HTK4S vírus, akkor láthatja, hogy ez egy átverés, csalás, ami ráadásul már 2009 nyara óta kering az Interneten.

Received: from nm11-vm0.access.bullet.mail.sp2.yahoo.com (nm11-vm0.access.bullet.mail.sp2.yahoo.com [98.139.44.124])
by mx.xxxx.hu with SMTP id 9C1DB78C6D
for <xxxx@xxxx.hu>; Thu, 17 Mar 2011 01:15:34 +0100 (CET)
Received: from [98.139.44.98] by nm11.access.bullet.mail.sp2.yahoo.com with NNFMP; 17 Mar 2011 00:15:33 -0000
Received: from [98.139.44.72] by tm3.access.bullet.mail.sp2.yahoo.com with NNFMP; 17 Mar 2011 00:15:33 -0000
Received: from [127.0.0.1] by omp1009.access.mail.sp2.yahoo.com with NNFMP; 17 Mar 2011 00:15:33 -0000
From: Account Management <coopertocooper@sbcglobal.net>
Reply-To: custmercaredpt@yahoo.com.hk
To: undisclosed recipients: ;
Subject: Erősítse meg a fiók adatai.

Copyright ? xxxx.hu Webmail 2011 Minden jog fenntartva.

Jelentjük alássan, elfogytak az IPv4 címek. Mit tehet ilyenkor az ember fia? Átnyergel IPv6-ra, amely a v4 4 milliárd (2^32) címével szemben 340,282,366,920,938,000,000,000,000,000,000,000,000 (2^128) címet tartalmaz, szóval egy kicsit azért többet.

Mi köze ennek a spamhez? Csak annyi, hogy sokan használnak feketelistákat az ismert spammerek ellen. Az IPv6 világában azonban ez valószínűleg idejétmúlt technológia a v6 óriási címtartománya miatt. Egy spammer simán megteheti azt is, hogy egyetlen címről csak egyetlen spamet küld – legalábbis Stuart Paton, a Cloudmark senior mérnöke szerint.

A The Register hozzáteszi, hogy nem a spamszűrés az egyetlen, amely a feketelista végével problémák elé nézhet, hanem pl. a DoS támadások forrásainak blokkolása, a kattintás csalások és a kereső manipuláció elleni védelem is erősen épít a feketelistákra.

Az IPv6-ra átállás folyamatos lesz, eltart majd egy darabig, és nem egyik napról a másikra fog mindenki ilyen címet kapni. Paton azt javasolja, hogy a szolgáltatók blokkolják a v6-os címek felől érkező leveleket, kivéve a saját előfizetőikét.

A Symantec szerint ha el is fogytak a v4-es címek, de az összes IP-cím számához képest csak kevés valódi levelezőszerver van a világon, és szerintük a v4-es címekkel egy elég hosszú ideig tartó kereskedés fog kezdődni.

Magyarországon csak kevés szolgáltató blokkolja a kimenő tcp/25-ös forgalmat. A jelek szerint az IPv6-ra átállás + a fentebb említett smtp korlátozás nagyban lecsökkenti a dinamikus címekről ránk zúduló spamek számát.

Forrás: Will IPv6 render blacklisting obsolete?

A Mr. Patrick Chan fedőnevű illető ismét támad… a magyar nyelvre, na meg persze az email címekre is. Íme, lehet rajta nevetni. Remélhetőleg senki nem veszi komolyan ezt a bohócot…

From: Mr Patrick Chan <office@ktel.ro>
To: undisclosed-recipients: ;
Subject: Visszaigazolás

—————————————————————-
This message was sent using IMP, the Internet Messaging Program.

A HWSW azonos című cikke szerint , amely a Symantec egy jelentésére hivatkozik, tavaly augusztustól kezdve a naponta elküldött spamek száma ~250 milliárdról 50 milliárdra csökkent.

A cikk szerint ennek több oka van. Az egyik az, hogy néhány nagyobb zombi hálózat megszűnt, és nem léptek újak a helyükre, és még a Rustock is csak takaréklángon spammel.

A másik ok (a cikk szerint) az, hogy a felhasználók okosabbak lettek, és kevésbé dőlnek be a spameknek.

Végül az utolsó (és talán legfontosabb) ok az, hogy a spammerek a közösségi site-ok felé fordulnak, és ott várható egy nagyobb spam kampány.

Az én mailbox-omban is visszaesett a spam, legalábbis ami az összesített számokat illeti. Elkezdett azonban nőni a magyar spammerek által a netre zúdított kéretlen levelek száma. Egy idő óta ugyanis divat, hogy némely tisztességtelen vállalkozás az info@ címekre zúdítja a maga kis gagyi ajánlatát.

Szóval egyelőre nem kell temetni a spamet, lesz belőle az idén is.

A Freeweb egyik fórumán láttam egy topikot, amely a címbeli témával foglalkozik. Pár gondolatom nekem is van az ügyben, amit itt osztok meg.

Hogyan szerezhetünk magunknak email címlistát?

Az oldalon több – kétes – módszer is fel van sorolva, mint pl. honlapok feltörése, címek közösségi oldalakról megszerzése, stb. A “kamu weboldal” létrehozása tényleg ötletes, amikor valaki pl. a http://freemial.hu/ oldalon üzemeltet egy proxyt, ami alkalmas a gyanútlan felhasználók email címeinek (és jelszavainak) begyűjtésére.

Email címek szerzésének azonban sokkal jobb módja az, ha olyat adunk a látogatóknak, ami érdekli őket, és cserébe hajlandók megadni önként az email címüket. Arra azért érdemes figyelni, hogy a név ill. email címen kívül csak akkor kérjünk be egyéb adatokat, ha arra feltétlen szükségünk van. Engem legalábbis elriasztanak a tengernyi adatot bekérő formok. Remélem, azt nem is kell külön mondani, hogy kizárólag double opt-in módszerrel (=megerősítéssel) vegyük fel az email címeket az adatbázisba.

Hogyan ne bukjunk le, ha mégis spammelni szeretnénk?

Ebben a fejezetben néhány naív tippet kapunk, amelyek gyakorlati haszna megkérdőjelezhető – úgy értem, ha komolyan spammelni akarunk. Mert az a tanács valóban jól hangzik, hogy használjuk a freemail.hu rendszerét spamküldésre (bocs fiúk), de az óránként max. 100 levél elküldése azért komoly limit, mert a spameket milliószámra kell rázúdítani az internetezőkre. Arról nem is beszélve, hogy ha a cikk írója úgy értette, hogy kézzel küldd el, … nos, az akkor egy valóban jó ujjgyakorlat.

A következő tipp az IP-cím titkosítása, akármit is jelentsen ez. Egy biztos: az email szolgáltató garantáltan naplózza az smtp forgalmat (is), hogy ki, mikor és honnan mit és hova küld. És ők tudni fogják az igazi IP-címedet is, ami alapján vissza lehet nyomozni, hogy ki küldte a spamet.

Hogyan spammelnék én, ha valaha is átállnék a sötét oldalra?

Hirtelen két tipp jut az eszembe. Az egyik, hogy kibérelnék egy zombinetet mondjuk egy félórára. Ez az idő bőven elég lehet, hogy beterítse a magyar mailboxokat. Viszont (szerencsére) a zombigépeket elég jól lehet azonosítani, ill. legalább egy részük különféle feketelistákon is rajta van.

A következő ötlet az, hogy veszek egy VPS-t valahol (mondjuk az egyik környező országban). Nem úgy értem, hogy ki is fizetem, hanem csak egy 30 napos trial periódust veszek igénybe, ami ingyen van (már ahol van ilyen lehetőség). Ha pedig elkészült a VPS, akkor kitolom rajta a ganét, aztán a “rm -rf /” után a viszontlátásra. Olyannal is találkoztam már, aki pl. egy cseh VPS-ről küldi a spamet, mert azzal máris kihúzta az NHH (megmaradt) méregfogát, és akkor nem kell szűrni a címlistát, hogy csak info@ címeket tartalmazzon.

A harmadik ötlet, ha már így belemelegedtem, az lenne, hogy megkeresném a laptopommal pár ISP kereskedőit, és (ahogy az igazán profik csinálják), x pénz ellenében kapnék egy Ethernet madzagot, és egy tiszta IP-címet, laptop rádug, aztán ami a csövön kifér. Utána a viszontlátásra, sosem láttuk egymást. Ezt az eljárást szokás pink contract-nek nevezni.

Az utolsó ötlet pedig az, hogy veszek egy mobilinternet előfizetést, aztán arcátlanul és lenyomozhatatlanul zúdíthatom a hálóra a spamet. Pl. a Vodafone hírhedten rossz ebből a szempontból, emlékezzetek csak vissza “Steve Terence” spamjeire. Ugyanis (nem tudom, azóta változott-e a helyzet) egyrészt nincs összerendelés a “mobil IP-címek”, ill. a publikusan látható címek között. Így hiába is ment az NHH a Vodához, azok csak hümmögtek, meg hammogtak. A másik jellemző mobilinternetes probléma az, hogy nincs szűrve a kimenő smtp forgalom. De bízzunk abban, hogy ez már a múlté, és a mobil operátorok korrekten kezelik azóta a jelenséget.

Na jó, mostmár abbahagyom, és nem adok több tippet…

Valaki egy @atev.hu-s email címre küldött spamet (Subject: Re: CV) egy feltört ukrán zombiról. Viszont az én címemet tette bele a Return-Path: mezőbe. És mivel az Átev Rt. olyan ügyesen konfigurálta az antispam rendszerét, ezért visszaküldte nekem a spam fejlécét (mintha én küldtem volna).

A message from <sj@acts.hu> to:
-> irhazyj@atev.hu

We do try to minimize backscatter for more prominent cases of UBE and
for infected mail, but for less obvious cases of UBE some balance
between losing genuine mail and sending undesired backscatter is sought,
and there can be some collateral damage on both sides.

A legjobb az, hogy ők is érzik, hogy esetleg félrecsúszhatott a dolog, és így is történt, elég csak összevetni a levelet _nekik_ feladó kliens IP-címét/hosztnevét az email címemmel, és kiderül a turpisság.

First upstream SMTP client IP address: [192.168.255.1] zorp.atev.rt
According to a ‘Received:’ trace, the message originated at: [94.178.123.74],
94.178.123.74 helo=mmipxpxzpox.qndpfhxdbxinpvk.org

De legalább kiderült, hogy az Állatifehérje Takarmányokat Előállító Vállalat Zorp-ot használ

Return-Path: <sj@acts.hu>
Message-ID: <20101208085554.5F74C9BBDF@janus.atev.hu>
Subject: Re: CV

Original-Recipient: rfc822;irhazyj@atev.hu
Final-Recipient: rfc822;irhazyj@atev.hu
Action: failed
Status: 5.7.0
Diagnostic-Code: smtp; 554 5.7.0 Reject, id=07344-11 – SPAM
Last-Attempt-Date: Wed, 8 Dec 2010 09:55:54 +0100 (CET)
Final-Log-ID: 07344-11/AdFkw9RN5YQz

Return-Path: <sj@acts.hu>
Received: from janus.atev.hu (zorp.atev.rt [192.168.255.1])
by proxy.atev.rt (Postfix) with ESMTP id 80CE09DEC
for <irhazyj@atev.hu>; Wed, 8 Dec 2010 09:55:54 +0100 (CET)
Received: from 74-123-178-94.pool.ukrtel.net (74-123-178-94.pool.ukrtel.net [94.178.123.74])
by janus.atev.hu (Postfix) with ESMTP id 5F74C9BBDF
for <irhazyj@atev.hu>; Wed, 8 Dec 2010 09:55:54 +0100 (CET)
Received: from 94.178.123.74(helo=mmipxpxzpox.qndpfhxdbxinpvk.org)
by 74-123-178-94.pool.ukrtel.net with esmtpa (Exim 4.69)
(envelope-from )
id 1MMQHO-7431qk-DP
for irhazyj@atev.hu; Wed, 8 Dec 2010 11:55:54 +0300
To: <irhazyj@atev.hu>
Subject: Re: CV
From: <irhazyj@atev.hu>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Message-Id: <20101208085554.5F74C9BBDF@janus.atev.hu>
Date: Wed, 8 Dec 2010 09:55:54 +0100 (CET)

Mivel a spamek fejléceit rendre meghamisítják a spammerek, ezért nagyon otromba az a spam védelem, amely mégis ezen információk alapján akarja értesíteni a “feladót”, hogy spamet küldött. Szóval kedves ÁTEV Rt postmaster, jó volna normálisan bekonfigurálni azt az smtp proxy-t…

Update:

Küldtem egy levelet a postmaster@atev.hu címre, ill. az eredeti címzettnek. Az utóbbi nem létezik, de legalább az is kiderült, hogy Domino-t (azt a Lotus-osat) használnak.

Reporting-MTA: dns;apollo.atev.rt

Final-Recipient: rfc822;irhazyj@atev.hu
Action: failed
Status: 5.1.1
Diagnostic-Code: X-Notes; User irhazyj (irhazyj@atev.hu) not listed in Domino Directory

Ennél nagyobb ‘shame on you’, hogy a postmaster@-nek sem lehet írni:

<postmaster@atev.hu>: host apollo.atev.hu[195.228.212.178] said: 554
<postmaster@atev.hu>: Recipient address rejected: Access denied (in reply to RCPT TO command)

A magyar spammer rovatában egy rövid elmélkedés arról, hogy miért nem jó ötlet Pongrácz András spamszolgáltatását igénybe venni.

Hiába na, a spammerek is ráhajtottak az év végi profitra, és elővették ismét a hazai netezőket. Pár éve(?) már volt ilyen, és szerencsénkre azóta sem igazán fejlődtek: a magyarságuk még mindig csapni való, az ‘ő’ betűt nem tudják leírni, és nem trükköznek sokat a hekkerek web site-jának maszkolásával sem: a http://szolgáltatás.mkb.li/x.php címen lehet “aktiválni”* a fiókot.

Ez a weboldal egyébként a http://szolgaltatas.mkbnetbankar.net/www1.mkbnetbankar.hu/index.htm oldalra visz, de megnyugtatásként legalább odatették a Netlock SSL logo pecsétjét. A cím pedig (legalábbis nekem erre rezolválódott) egy ATT hálózaton lévő gépen van. A spam viszont a TV5Monde mail szerveréről jött.

*: nehogy megpróbáld!

A levél így nézett ki:

Received: from mail.tv5paris.org (mail.tv5.org [62.244.111.1])
by srv1.crt.fr (8.13.8/8.13.8) with ESMTP id oAA6GE4V016099
From: MKB Bank <NetBank@mkbnetbankar.hu>
To: eleg@baja.van.igy.is
Subject: Figyelem! Ön MKB fiók korlátozott volt!

MKB TeleBANKár
Lakossági ügyfélszolgálat: 06-40-333-666
Vállalati ügyfélszolgálat: 06-40-333-777
Külföldrol: +36-1-373-3333

Mr. Patrick Chan neve már mindannyiunk számára – még a spamszűrők számára is – ismerősen cseng. Ő az, aki Hong-Kong-ból tett erőszakot a magyar nyelven, de most itt az újabb sith tanítvány: Mr. David Sidwell. Ő is valami hasonlót művel, valószínűleg szintén a Google fordítójával.

A sztori egyébként már lerágott csont: XY meghalt, és az öröksége senkinek nem kell (=”elhagyatott összeg”), és kb. 5,5 millió angol fontért cserébe kellene segédkezni az ügyletben. Ehhez első lépésként olyan adatokat kérnek, mint név, lakcím, mobil és életkor. Mondanom sem kell, átverés az egész, egy adathalász- esetleg személyiséglopás első szakasza.

A spam pedig így nézett ki: ha másért nem, a nyelvtanért érdemes elolvasni.

Mr. David Sidwell

Üdvözlettel,
Mr. David Sidwell
+44 (0) 7035942888

Az idei ITBN-en előadóként (is) vettem részt. Íme a video:

A PDF anyag pedig innen tölthető le.