Ho appena ricevuto lo spam che nella sua interezza ha detto: "Ciao, non dimenticarti di tutti i miei compiti". È in testo normale; non ci sono contenuti nascosti. Mittente falso con il nome di dominio mio , utilizzando un nome che non ho nella mia precedente raccolta di spam. (Conservo tutto per un mese, in caso di disallineamenti dei filtri e qualche curiosità morbosa.) Quale potrebbe essere l'angolo possibile qui?
Return-Path: <[email protected]>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on example.edu
X-Spam-Status: No, score=2.3 required=5.0 tests=BAYES_05,BOGO_T25_HAM,
FSL_HELO_NON_FQDN_1,HEADER_FROM_DIFFERENT_DOMAINS,RCVD_IN_BRBL_LASTEXT,
RDNS_NONE,SPF_FAIL,TO_EQ_FM_DOM_SPF_FAIL,TVD_RCVD_SINGLE autolearn=no
autolearn_force=no version=3.4.0
X-Spam-Level: xx
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from KVKRYIUZS (unknown [113.105.180.234])
by example.example.org (Postfix) with ESMTP id 2F21785E4E11
for <[email protected]>; Mon, 9 Jan 2017 12:49:11 -0500 (EST)
Message-ID: <[email protected]>
Date: Tue, 10 Jan 2017 01:16:51 +0800
From: Jacob Lamothe <[email protected]>
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
Thunderbird/24.2.0
MIME-Version: 1.0
To: [email protected]
Subject: Hello from Lamothe
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit
Hi, don't forget about all my tasks.
Thanks.
Ecco fatto - nessun'altra parte del messaggio. Ho sostituito il mio dominio con example.org
. Tutte le intestazioni X-
sono legittime e provengono dal mio stesso sistema. L'intestazione della busta "Return-Path" è interessante, poiché una ricerca rapida vede implicati in diversi attacchi di phishing.
I do hanno un paio di altri messaggi con lo stesso Return-Path. Sono praticamente identici e assomigliano a:
Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from 80.red-80-34-69.staticip.rima-tde.net
(80.red-80-34-69.staticip.rima-tde.net [80.34.69.80])
by example.example.org (Postfix) with ESMTP id 10B988048645
for <[email protected]>; Thu, 22 Dec 2016 17:23:33 -0500 (EST)
Received: from [145.214.112.131] (port=28899 helo=[10.0.4.34]) by 80.34.69.80
with asmtp id 1rqLaL-000MX-00 for [email protected]; Thu, 22 Dec 2016
22:50:38 +0100
Message-ID: <[email protected]>
Date: Thu, 22 Dec 2016 22:50:38 +0100
From: Fax Scanner <[email protected]>
MIME-Version: 1.0
To: [email protected]
Subject: You have recevied a message
Content-Type: multipart/mixed;
boundary="------------050107040507000606080309"
This is a multi-part message in MIME format.
--------------050107040507000606080309
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit
You have received a message on efax.
Please download and open document attached.
Scanner eFax system.
--------------050107040507000606080309
Content-Type: application/zip; name="Message efax system-5733.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Message efax system-8631.zip"
[removed]
--------------050107040507000606080309
"Rimosso" è un file zip contenente un trojan javascript. (Identificato da uno scanner online come un possibile downloader di ransomware). Quindi, forse c'è qualche relazione? Ma le intestazioni non sono simili - formato diverso per Message-ID
, no User-Agent
per il secondo, ecc. E il risultato è avvenuto diverse settimane prima di quello sopra. Capisco perfettamente di cosa si tratta, ma se si collegano al messaggio sopra, non riesco a vedere come.