В сообщении от Пт 28 Ноя 2003 08:58 Alexander Trotsai написал:

Привет усем

Похоже семинаристу (похожее письмо сильно по подделке Received) надоело карточки покупать - решил логинов наворовать

получили такое же.

Так что имейте в виду, что возможны подобные атаки на пользователей

-- [sp4-uanic] [sbp4-ripe] =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Fri, Nov 28, 2003 at 08:58:34AM +0200, Alexander Trotsai wrote:

Похоже семинаристу (похожее письмо сильно по подделке Received) надоело карточки покупать - решил логинов наворовать

Так что имейте в виду, что возможны подобные атаки на пользователей

Так под это, в отличии от спама, уже статья есть, которую все так долго искали. -- Regards, Yaroslav Halchinsky =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Hi! On Fri, Nov 28, 2003 at 08:58:34AM +0200, Alexander Trotsai wrote: AT> Похоже семинаристу (похожее письмо сильно по подделке AT> Received) надоело карточки покупать - решил логинов AT> наворовать AT> Так что имейте в виду, что возможны подобные атаки на AT> пользователей Там заголовок X-Mailer точно поддельный, поскольку Outlook Express генерирует Message-ID совсем другого вида. Это и позволяет авломатически фильтровать подобный спам. AT> -- AT> Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC AT> My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] AT> Молодой автор, подающий надежды: две длинных, одну короткую AT> Return-path: SUPP0RT@ADAMANT.UA AT> Envelope-to: mage@blackhole.adamant.net AT> Delivery-date: Thu, 27 Nov 2003 18:07:36 +0200 AT> Received: from null.adamant.net ([212.26.128.5]) AT> by blackhole.adamant.ua with esmtp (Exim 4.24) AT> id 1APOg4-0005Hd-N7 AT> for mage@blackhole.adamant.net; Thu, 27 Nov 2003 18:07:36 +0200 AT> Received: from scout.adamant.net ([212.26.128.10]) AT> by null.adamant.net with esmtp (TLSv1:DES-CBC3-SHA:168) AT> (Exim 4.24) AT> id 1APOg4-00027D-Gv AT> for postmaster@adamant.ua; Thu, 27 Nov 2003 18:07:36 +0200 AT> Received: from smtp.citta-america.com ([200.255.242.4]) AT> by scout.adamant.net with esmtp (Exim 4.24) AT> id 1APOfy-0008U7-G9 AT> for postmaster@scout.adamant.net; Thu, 27 Nov 2003 18:07:34 +0200 AT> Received: from smtp.citta-america.com (unknown [10.2.12.23]) AT> by smtp.citta-america.com (Postfix) with SMTP AT> id A50174A662; Thu, 27 Nov 2003 17:13:32 -0200 (BRST) AT> Reply-To: adamant@uk2.net AT> From: Alexander Trotsai AT> Subject: Техническая поддержка AT> Date: Thu, 27 Nov 2003 19:07:22 +0300 AT> MIME-Version: 1.0 AT> Content-Type: text/plain; AT> charset="Windows-1251" AT> Content-Transfer-Encoding: 7bit AT> X-Priority: 3 AT> X-MSMail-Priority: Normal AT> X-Mailer: Microsoft Outlook Express 6.00.2800.1081 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ AT> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081 AT> Message-Id: <20031127191332.A50174A662@smtp.citta-america.com> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ AT> To: undisclosed-recipients: ; -- Vsevolod Volkov (VVV-UANIC) System administrator mailto:vvv@lucky.net Lucky Net Ltd =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Fri, Nov 28, 2003 at 11:54:07AM +0200, Yaroslav Halchinsky wrote: YH>On Fri, Nov 28, 2003 at 10:27:55AM +0200, Alexander Trotsai wrote: YH>> YH>Так под это, в отличии от спама, уже статья есть, которую все так долго искали. YH>> YH>> ага YH>> только как доказать, что это оно YH>> я сказал - ПОХОЖЕ по подделке Received YH>Зачем доказывать причастность к семинарам? Мошенничества не достаточно? тогда как найти и доказать факт кто именно разослал данное сообщение??? -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Вскрытие показало - больной спал =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

On Fri, Nov 28, 2003 at 10:49:53AM +0200, Vsevolod Volkov wrote:

Hi!

Там заголовок X-Mailer точно поддельный, поскольку Outlook Express генерирует Message-ID совсем другого вида. Это и позволяет авломатически фильтровать подобный спам. Message-id там обыкновенный postfix'овый. То есть - X-Mailer воткнут в статичный message body. Date или сгенерён "посылалкой" в postfix или вообще статичный. Такая себе немного недоделанная тулзень...

Это - а что народ думает по поводу поднятия какого-нить BL на тему target addresses - вот типа тот же Reply-To: adamant@uk2.net заблеклистить вовремя... Мои юзера кажись на такое не повелись :-|. Или они adamant не юзают ;).

AT> for postmaster@scout.adamant.net; Thu, 27 Nov 2003 18:07:34 +0200 AT> Received: from smtp.citta-america.com (unknown [10.2.12.23]) AT> by smtp.citta-america.com (Postfix) with SMTP AT> id A50174A662; Thu, 27 Nov 2003 17:13:32 -0200 (BRST) AT> Reply-To: adamant@uk2.net

AT> From: Alexander Trotsai AT> Subject: Техническая поддержка AT> Date: Thu, 27 Nov 2003 19:07:22 +0300 AT> MIME-Version: 1.0 AT> Content-Type: text/plain; AT> charset="Windows-1251" AT> Content-Transfer-Encoding: 7bit AT> X-Priority: 3 AT> X-MSMail-Priority: Normal AT> X-Mailer: Microsoft Outlook Express 6.00.2800.1081 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ AT> X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081 AT> Message-Id: <20031127191332.A50174A662@smtp.citta-america.com> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ AT> To: undisclosed-recipients: ;

-- Vsevolod Volkov (VVV-UANIC) System administrator mailto:vvv@lucky.net Lucky Net Ltd =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Пожалуйста, обратите внимание на это письмо. Если вы помните рассылку с "Reply-To: adamant@uk2.net", имевшую цель хищения паролей, прошу помочь мне содействием. Я оставил что-то вроде ловушки: создал аккаунт и прислал якобы от имени владельца аккаунта пароль, как и хотел этот гражданин, надеясь в один прекрасный день отловить его АОН'ом. На мой модемный пул он так и не приходил, но зато сегодня я засёк его авторизацию на моём веб-мыле. Вот выдержка из логов: 193.108.209.147 - - [02/Dec/2003:20:07:09 +0000] "GET / HTTP/1.1" 302 26 193.108.209.147 - - [02/Dec/2003:20:07:10 +0000] "GET /src/login.php HTTP/1.1" 200 2276 193.108.209.147 - - [02/Dec/2003:20:07:11 +0000] "GET /images/sm_logo.png HTTP/1.1" 200 7396 193.108.209.147 - - [02/Dec/2003:20:07:31 +0000] "POST /src/redirect.php HTTP/1.1" 302 5 193.108.209.147 - - [02/Dec/2003:20:07:32 +0000] "GET /src/webmail.php HTTP/1.1" 200 319 193.108.209.147 - - [02/Dec/2003:20:07:34 +0000] "GET /src/right_main.php HTTP/1.1" 200 5966 193.108.209.147 - - [02/Dec/2003:20:07:35 +0000] "GET /src/left_main.php HTTP/1.1" 200 1119 193.108.209.147 - - [02/Dec/2003:20:07:37 +0000] "GET /images/sort_none.png HTTP/1.1" 200 289 Часы синхронизированы по ntp.lucky.net. Этот адрес резолвится как 27.dialup.infotech.net.ua, само собой это может оказаться какой-то карточкой или ещё чем-то подобным. Пожалуйста, помогите грамотно сформулировать письмо на abuse@infotech.net.ua; у меня есть сомнения в том, что они читают uanog@ и поэтому моему рассказу попросту не поверят. Хотелось бы получить мылом на письма от тех провайдеров, которых это коснулось, это будет достаточно весомый аргумент. Заране благодарю всех откликнувшихся. -- V.Melnik =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message