Perché uno spammer molto anonimo mi esorta a "non dimenticare tutti i miei compiti"?

4

Ho appena ricevuto lo spam che nella sua interezza ha detto: "Ciao, non dimenticarti di tutti i miei compiti". È in testo normale; non ci sono contenuti nascosti. Mittente falso con il nome di dominio mio , utilizzando un nome che non ho nella mia precedente raccolta di spam. (Conservo tutto per un mese, in caso di disallineamenti dei filtri e qualche curiosità morbosa.) Quale potrebbe essere l'angolo possibile qui?

Return-Path: <[email protected]>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on example.edu
X-Spam-Status: No, score=2.3 required=5.0 tests=BAYES_05,BOGO_T25_HAM,
        FSL_HELO_NON_FQDN_1,HEADER_FROM_DIFFERENT_DOMAINS,RCVD_IN_BRBL_LASTEXT,
        RDNS_NONE,SPF_FAIL,TO_EQ_FM_DOM_SPF_FAIL,TVD_RCVD_SINGLE autolearn=no
        autolearn_force=no version=3.4.0
X-Spam-Level: xx
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from KVKRYIUZS (unknown [113.105.180.234])
        by example.example.org (Postfix) with ESMTP id 2F21785E4E11
        for <[email protected]>; Mon,  9 Jan 2017 12:49:11 -0500 (EST)
Message-ID: <[email protected]>
Date: Tue, 10 Jan 2017 01:16:51 +0800
From: Jacob Lamothe <[email protected]>
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:24.0) Gecko/20100101
        Thunderbird/24.2.0
MIME-Version: 1.0
To: [email protected]
Subject: Hello from Lamothe
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

Hi, don't forget about all my tasks.

Thanks.

Ecco fatto - nessun'altra parte del messaggio. Ho sostituito il mio dominio con example.org . Tutte le intestazioni X- sono legittime e provengono dal mio stesso sistema. L'intestazione della busta "Return-Path" è interessante, poiché una ricerca rapida vede implicati in diversi attacchi di phishing.

I do hanno un paio di altri messaggi con lo stesso Return-Path. Sono praticamente identici e assomigliano a:

Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from 80.red-80-34-69.staticip.rima-tde.net
        (80.red-80-34-69.staticip.rima-tde.net [80.34.69.80])
        by example.example.org (Postfix) with ESMTP id 10B988048645
        for <[email protected]>; Thu, 22 Dec 2016 17:23:33 -0500 (EST)
Received: from [145.214.112.131] (port=28899 helo=[10.0.4.34]) by 80.34.69.80
        with asmtp id 1rqLaL-000MX-00 for [email protected]; Thu, 22 Dec 2016
        22:50:38 +0100
Message-ID: <[email protected]>
Date: Thu, 22 Dec 2016 22:50:38 +0100
From: Fax Scanner <[email protected]>
MIME-Version: 1.0
To: [email protected]
Subject: You have recevied a message
Content-Type: multipart/mixed;
        boundary="------------050107040507000606080309"

This is a multi-part message in MIME format.
--------------050107040507000606080309
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: 7bit

You have received a message on efax.
Please download and open document attached.

Scanner eFax system.

--------------050107040507000606080309
Content-Type: application/zip; name="Message efax system-5733.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="Message efax system-8631.zip"
 [removed]
    --------------050107040507000606080309

"Rimosso" è un file zip contenente un trojan javascript. (Identificato da uno scanner online come un possibile downloader di ransomware). Quindi, forse c'è qualche relazione? Ma le intestazioni non sono simili - formato diverso per Message-ID , no User-Agent per il secondo, ecc. E il risultato è avvenuto diverse settimane prima di quello sopra. Capisco perfettamente di cosa si tratta, ma se si collegano al messaggio sopra, non riesco a vedere come.

    
posta mattdm 10.01.2017 - 11:42
fonte

2 risposte

2

Si tratta di tipiche "scoperte di spam malware / phishing / mercato".

  1. Convalida l'indirizzo email del destinatario
  2. Convalida l'indirizzo email del mittente
  3. conferma che il tuo server di posta elettronica consente il relay di posta dalla stessa origine del dominio senza autenticazione
  4. Conferma che il tuo server di posta elettronica accetta e ha autorizzato il percorso di ritorno invece di rimbalzare il messaggio.

113.105.180.234 appartiene al netblock Network ChinaNet Guangdong Province.

In realtà, è normale che lo spam attacker lanci lo spam e scopra che attacca usando gli ISP più economici che riescono a trovare. Diffondere l'attacco di più fornitori di servizi aumenterà il loro tasso di successo. Inoltre, lo spammer può "cross sell" server vulnerabili e indirizzi e-mail agli altri.

Disabilita il relè di apertura solo significa che lo spammer non può usare il tuo server di posta elettronica per attaccare gli altri. Hai bisogno di un altro livello di sicurezza per evitare che lo scammer invii posta tramite phishing come utente all'interno del tuo dominio (ad es., [email protected], Jacob.Lamothe @ example.org), che le persone dovranno pregare e pensare che sia una posta legittima.

Esamina le impostazioni di restrizione del server di posta per scoprire qual è la strategia migliore. Prendete nota del fatto che, prima di implementare tale restrizione, è necessario verificare se vi sono dei servizi interni (che potrebbero non avere gli attributi di autenticazione) influenzati dalla restrizione. Potrebbe essere necessario fornire un'eccezione esplicita IP interna per tali servizi.

    
risposta data 10.01.2017 - 15:15
fonte
1

A seconda che ci siano o meno dei pixel di tracciamento nell'e-mail, potrebbero verificare se il tuo indirizzo è attivo. In tal caso, potrebbero sperare che tu risponda per confermare che l'account è realmente attivo e che sei il tipo di persona che risponderebbe a email sospette (ad es. Un segno potenziale).

    
risposta data 10.01.2017 - 12:09
fonte

Leggi altre domande sui tag