[Tanel]

link :: RIA


RIA infoturbeintsidentide käsitlemise osakonnani (CERT-EE) on täna jõudnud palju sõnumeid juhtumitest, kus Eesti internetikasutajatelt proovitakse välja petta e-posti kasutajanime ja parooli. Inimestele saadetakse kohmakas eesti keeles e-kiri, milles suunatakse nad postkasti mahu suurendamise ettekäändel täitma veebivormi webs.com keskkonnas.

Tavaliselt soovivad pahalased sellise kampaaniaga pääseda ligi võõrastele meilikontodele ja nii levitada omakorda rämpsposti, saata kontoomaniku nime alt petukirju või kasutada e-posti sotsiaalvõrgustikes identiteedi varastamiseks.

Tuletame meelde, et ükski tõeline IT-osakond, e-posti keskkond, pank ega muu e-teenuse pakkuja ei küsi kunagi teie parooli meili teel. Samuti ei suuna nad kliente neid andmeid koguvale veebilehele, millel pole teenuse osutajaga mingit pistmist (sellele viitab punaselt allajoonitud veebilehe aadress kuvatõmmisel).

Neil, kes juba kirjale reageerisid ja oma parooli veebivormi kaudu teele panid, tuleb kohe oma e-posti parool muuta.

Õngitsusleht asub välismaise teenusepakkuja serveris. CERT-EE on esitanud õngitsuslehe majutajale taotluse veebileht eemaldada.

[mikk36]

Jõudis ka tööl selline ühele meil.
Näib et saadeti välja Hispaania valitsuse serveri kaudu.

Spoiler

X-Assp-Version: 2.3.4(13263) on ASSP.nospam X-Assp-Delay: delayed for 1m 2s; 10 Oct 2013 10:53:50 +0300 X-Assp-Received-RWL: whitelisted from (list.dnswl.org->127.0.8.1,trust=1(category=Public sector/governments);) - high trust is 1 - client-ip=195.77.17.221 X-Original-Authentication-Results: ASSP.nospam; spf=pass X-Assp-Message-Score: -10 (SPF pass) X-Assp-IP-Score: -10 (SPF pass) X-Assp-Message-Score: 10 (Foreign Country ES (TELEFONICA DE ESPANA)) X-Assp-ID: ASSP.nospam m1-91630-03680 X-Assp-Session: 7FCE35FC6AD8 Received: from mariola.gva.es ([195.77.17.221] helo=mariola.gva.es) byASSP.nospam with SMTP (2.3.4); 10 Oct 2013 10:53:50 +0300 X-IronPort-Anti-Spam-Filtered: true X-IronPort-Anti-Spam-Result: AiNbADNcVlLBkH1J/2dsb2JhbABZBgmCAnY4FyQXgyiGX7JmhVEWcwE+gV8aGAgvRw0CJgIxAQ4CCBgDAYYCgX4BAQ8FCCOXQ4UdgWUHAYd8Woc/BBGKCoEpjGWEKg+BKgOeZGOJWwFkgmoCOoFvOQ X-IronPort-AV: E=Sophos;i="4.90,1070,1371074400"; d="scan'208";a="44901093" Received: from unknown (HELO edumail1.edu.gva.es) ([193.144.125.73])by mariola.gva.es with ESMTP; 10 Oct 2013 09:53:11 +0200 Received: from localhost (localhost.localdomain [127.0.0.1])by edumail1.edu.gva.es (Postfix) with ESMTP id 6B1D3A2AF2B;Thu, 10 Oct 2013 07:26:16 +0200 (CEST) Received: from edumail1.edu.gva.es ([127.0.0.1])by localhost (edumail1.edu.gva.es [127.0.0.1]) (amavisd-new, port 10024)with ESMTP id 0+lEKLffcAMa; Thu, 10 Oct 2013 07:26:11 +0200 (CEST) Received: from edumailms.edu.gva.es (edumailms.edu.gva.es [193.144.125.75])by edumail1.edu.gva.es (Postfix) with ESMTP id DA079A2AEAA;Thu, 10 Oct 2013 07:26:10 +0200 (CEST) Date: Thu, 10 Oct 2013 07:26:10 +0200 (CEST) From: "e-posti teenuse " <03002871@edu.gva.es> Reply-To: "e-posti teenuse " <teamsupport@msn.com> Subject: Hoiatus teatamine Message-ID: <014dc1ac-f8bc-4096-b040-b8e06e585b10@edumailms.edu.gva.es> Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: quoted-printable MIME-Version: 1.0 X-Originating-IP: [116.202.163.114] X-Mailer: Zimbra 7.1.2_GA_3268 (zclient/7.1.2_GA_3268) To: undisclosed-recipients:;

[Dogbert]

Alguse saanud on haridussüsteemi meiliserverist edumailms.edu.gva.es [193.144.125.75], välja saadetud valitsuse omast. Neil paistavad need üksteise taga olema. Keegi on vist käpa peale pannud sellele, vähemalt näha ei ole, et see sinna omakorda kusagilt sisse tulnud oleks või veebimeilist välja saadetud.

[mikk36]

Dogbert, vaata alt kolmandat rida mu pandud sodil.

Spoiler

Tracing route to 116.202.163.114 over a maximum of 30 hops   1    <1 ms    <1 ms    <1 ms  pfsense.localdomain [192.168.2.1]   2     5 ms     5 ms     5 ms  10.203.0.1   3     *        *        *     Request timed out.   4     *        6 ms     *     sole-bb1-te1-1.starman.ee [85.253.5.0]   5     6 ms     9 ms     4 ms  te4-2.ccr01.tll01.atlas.cogentco.com [149.6.188.37]   6    32 ms    27 ms    27 ms  te0-7-0-30.ccr22.sto03.atlas.cogentco.com [154.54.75.133]   7    31 ms    29 ms    30 ms  te0-5-0-3.ccr42.ham01.atlas.cogentco.com [154.54.61.129]   8    43 ms    43 ms    44 ms  be2187.ccr22.ams03.atlas.cogentco.com [154.54.74.125]   9    51 ms    48 ms    51 ms  be2276.ccr22.lon13.atlas.cogentco.com [154.54.36.57] 10    48 ms    47 ms    47 ms  te0-0-0-24.ccr22.lon01.atlas.cogentco.com [130.117.0.205] 11    48 ms    50 ms    51 ms  te0-6-0-1.ccr21.lon02.atlas.cogentco.com [130.117.0.98] 12    85 ms    51 ms    50 ms  149.6.149.2 13   194 ms   195 ms   188 ms  59.145.7.134 14   201 ms   196 ms   203 ms  aes-static-066.131.17.125.airtel.in [125.17.131.66] 15   197 ms   202 ms   203 ms  116.202.226.18 16   197 ms   198 ms   197 ms  116.202.226.146 17     *        *        *     Request timed out.

Viimane rida jäi korduma.

[Dogbert]

Sul on õigus, ma ei märganud, et päises sisaldus ka X-Originating-IP. Minu viga.
Indiast saadeti välja ühesõnaga, sinna Hispaania haridussüsteemi serverisse. India. Pole eriti üllatav.

[mikk36]

Dogbert, no meeldiv on ju pigem see, et see Hispaania server selle vastu võttis.

[Dogbert]

Arvad, et on lausa open relay? Välistada ei saa muidugi, kui just ise proovima ei hakka.
Server küll ei ütle siin selle kohta midagi, aga ehk on siiski autentiv server ja on parool kelleltki vinnatud või nõrk parool murtud. Tahaks seda väga uskuda, aga küllap on sul ka siin õigus.