Fórumok
From: System Administrator <intenziv@delpestikorhaz.hu>
Received: from webmail.jahndelpest.hu (webmail.jahndelpest.hu [192.168.2.83])
by mail.jahndelpest.hu (Postfix)
Kedves webfelhasználó!
Frissítjük az összes webmail webes ügyfélfiókot, ezért minden aktív fióktulajdonosnak ellenőriznie és bejelentkeznie kell, hogy a frissítés és az áttérés most érvényes legyen. Ez a biztonság és a hatékonyság javítása érdekében történik a legutóbbi spam e-mailek miatt.
Kattintson a gombra a többi spam e-mail áthelyezéséhez és blokkolásához.
MEGJEGYZÉS: Ha az értesítés kézhezvételétől számított 24 órán belül nem frissíti fiókját, biztonsági okokból fiókját azonnal blokkoljuk.
Ilyen kérem amikor az admin még az elfekvőből is dolgozik :P Biztos ciscot használnak. A NISZ-nél van abuse cím? :)
Hozzászólások
Majdnem azt kérdeztem, hogy mi köze ehhez a NISZ -nek :) a legtöbb kórházban kiszervezett külsős mail szolgáltatót használnak (általában hely kis garázs cégek) - fillérekért, és értelemszerűen a szolgáltatás is olyan színvonalú. Látom itt pont nem erről van szó...
attol meg, hogy az IP cim NISZ-es meg nem biztos hogy ok uzemeltetik az infrat...
amugy valoszinu sima adathalasznak bedolt ejjel egy juzer a 20 oras muszakja vege fele, es igy tudtak az accrol spammelni
Már jó ideje tart a központosítás és egyre több a hibrid Exchange amit "profik" felügyelnek
Mármint?!
Tippre az utolsó áldozat is ezt szopta be (exchangere havazó add meg a jelszavad page ;)), mondjuk ennek ellentmond , hogy az originating Ip intranetes ami még szomorúbb (mert ugye a saját intranetjükből tolták a szemetet és nem az volt , hogy Gizi megadta a jelszavát, aztán valaki kívülről öntötte a szart) csak ugye ha még ott is az van ahol van pénz, posztó, paripa , mit várunk a one-man-show felhozataltól ;) (de az is lehet, hogy ők is ciscot használtak és a Cisco a hibás ;))
Az a@baratunk.gov.hu remélem nem az all contact belső rövidítése mert akkor a következő két hónap igazi szopóroller lesz megint (mondjuk amúgy is) ;)
Elég ha ott fut egy webmail, és onnan jön. Mindent is bepróbálnak.
Jó de ez esetben vagy nem látszik az originating ip, vagy nem egy belső cím látszik, hacsak nem belülről webmailezett ;)
feler ;) a postod ;) egy ;) villodzo ;) keppel ;) szerencsere ;) nem ;) triggerel :0 semmit ;)
Ezt nem ide kéne, hanem a postmaster@ -ra és valamilyen kontakt emailcímükre, hogy mielőbb továbbítsák az illetékes sysadminnak.
Ezzel együtt hívnám fel mindenkinek a figyelmét, hogy a kliensektől kinyert felhasználó+jelszó párosok (legyen az böngésző vagy levelező kliens) mindent is megpróbálnak, bármilyen erős a jelszó. Külön taktika, hogy mindenféle extra identitást vesznek fel a Roundcube-ba, vagy más kurrens webmailbe. Védekezni igen nehéz, de rate limittel egész jól megfogható ez, illetve a mail queue méretének monitorozásával.
Ha a klienssről bányásszák ki az accot, akkor ez teljesen független a szolgáltatótól. Aki tud, az 2FA-val védekezzen ellene.
A kérdés ilyenkor , hogy a postmaster (kukac) biztonságos-e még? Roundcube Webmail/1.3.10 nem egy mai darab, ugye ha be tudott lépni a delikvens, akkor tudott ott más okosságot is csinálni. Ezért szeretek fentebb keresgélni, majd az ISP lejátsza az ügyfelével. (általában nagy ívben tesznek bármilyen abuse reportra :))
Mire az oda eljut... Jellemzően a kliensekről 1-1 mentett account kerül ki, arra röptetik rá a robotokat. Tényleg fotnos, hogy nem a webmailt törik meg általában, akármilyen régi is, hanem egy kikerült account infóval lépnek be. Ezt nem is lehetne feltörésnek nevezni, hiszen fogták és beléptek. Azért ez óriási különbség. Pontosan ezért kéne minnél több fórumon felhívni erre a figyelmüket, mert a "majdleszvalami", az kevés lesz nagyon hamar. Én személy szerint nap mint látom ezt, és tiltunk le emailfiókot bőségesen.
A nekünk küldött emailből én arra tippelnék, hogy egyszerűen ott találtak olyan delikvenst (sajnos mindenhol van erre fogékony ember), aki ráment a linkre és megadta a login adatait. Az a kérdés, hogy ezzel csak annyit kezdtek, hogy elkezdték azon keresztül is halászni (miután csináltak maguknak egy "biztonsági mentést" a fiókban található levelekről :(), vagy ha már benn voltak valamit tákoltak is a nem túl friss roundcubeon :)
Ez lehet a másik eset igen, hogy egy phising jött.
A levelezést lementik már szinte mindíg. Voltak ebből igen kemény esetek, amikor aktuális levelezésbe ékelődve egy idegen bankszámlára kértek utalást, természetesen nem ellenőrizték vissza ezt, és puff utaltak. Nem három forintról volt szó, és nemzetközi partnerről, a túloldalra ékelődtek be...
Ilyen esetről én is tudok elsőkézből!
Ma mrá Magyarországon is simán ilyen alapos támadást is be lehet kapni, nem is kell ismertnek lenni csak legyen megtérülés a csalónak.
Mondjuk a személyes véleményem hogy magára valamit adó KKV menjen el valamelyik nagy cloud e-mail providerhez, de hát a pénz nagy úr...
Szerintem az ellen a cloud e-mail provider nem véd, ide már pottyant be olyan levél amiben a "vezetőség" érdeklődött az aktuális számlaegyenlegről (a "business email" provider ahonnan érkezett meg nagy ívbe tett az abuse reportra, vagyis a csatolt teljes fejléces email se volt szerintük elegendő bizonyíték :P)
Igen, a fenti példa 1-2 éve történt meg itthon, semmi scifi, a sima valóság volt.
Hiába mész el akármilyen klódprovájderhez, mert a _kliensen_ porszívózzák fel adatot, ráadásul nem a te, hanem a partnered kliens gépén. Kizárólag felhasználók képzésével, mármint érdemivel, lehet ez ellen tenni, és rendes IT ráfordítással. Ez a vakon megyünk a klódba típusú történet értelmetlen teljesen.
Most épp a neurologia tart náluk BMW-s sorsolást, egy vagy két héttel ezelőtt meg a koraszul (tippre koraszülött osztály) nyomult hasonlóval. Úgyhogy vagy mindenki hülye ott, vagy valami komolyabb gebasz van.
https://www.abuseipdb.com/check/84.206.67.8
Már megjelentek az abusedb-n is :)
Nade megírjátok nekik ilyenkor, hogy mivan? Meg az abuse@ -ra a hálózatnál? Lehet itt vidámkodni, de az kevés.
Gondolom ez megvolt: https://telex.hu/sport/2022/10/26/magyar-vizilabda-szovetseg-nyomozas-c…
Én ezt eddig nem láttam, de a leírtak alapján azt teljesen kizártnak tartom, hogy belső ember ebben nem volt benne... Pláne, hogy ilyen összegeknél egy e-mail alapján, mindeféle további ellenőrzés nélkül változtatnak cél bankszámlaszámot menet közben, mikor a valóságban irtózat ritkán változik bárki legitim cél bankszámlaszáma, mert annyi a változtatással a macera.
Javaslatodra a postmaster-re dobtam egy mailt amikor a koraszülészeten soroltak, nem pattant vissza gondolom megkapta valaki. (ez történik (vagyis leginkább semmi) az esetek 99.9%-ban)
kaptunk mi is belole, nekem 5:31-kor jott riasztas:
"elpestikorhaz.hu" ??? WTF
Én is néztem, biztos rosszul vágta a script :)
Ma beszállt a bmmi(dot)hu is a játékba. (Ha már szerencsétlen mailserver be van állítva , hogy DKIM aláírjon talán célszerű lenne felvenni a DKIM rekordod a domainhez, hogy az ilyen fontos levelek biztosan célba érjenek :))
Ez a BMMI valami múzeum?! Weblapja kuka, 403
https://munkacsy.hu/muzeum/munkatarsak
Ebből tippelve.
A Tudományos-muzeológiai osztály érintett (bármit jelentsen ez :))
levagja a localpartot es a domaint is 16-16 karakterre, jobb volt fix 32 karakterre indexelni a db-t mint blobokra... es az eredmenyt nem befolyasolja.
loc=sender_split[0][0:16]
dom=sender_split[1][-16:]
cursor.execute("INSERT INTO szamlalo2(domain,localpart,count,counthu,size,deep,grey) VALUES (%s,%s,%s,%s,%s,%s,%s);", (dom,loc,num_rcpt,num_rcpthu,bl_size,bl_deep,bl_susp))
cursor.execute("SELECT COUNT(count),SUM(count),SUM(counthu),AVG(size),AVG(deep) FROM szamlalo2 WHERE datum >= DATE_SUB(NOW(),INTERVAL 36000 SECOND) AND domain=%s AND localpart=%s;",(dom,loc))
cursor.execute("SELECT COUNT(count),SUM(count),SUM(counthu),AVG(size),AVG(deep) FROM szamlalo2 WHERE datum >= DATE_SUB(NOW(),INTERVAL 36000 SECOND) AND domain=%s;",(dom,))
.
Nincs itt semmi látnivaló, sok az olvasni/értelmezni nem tudó felhasználó.
Az egészségügyben, jellemzően, képzés nélkül adnak jogosultságot a felhasználóknak.
Mielőtt balhé lenne belőle, nem a felhasználók problémája.
"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"
"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"
egy probnnlema azert van, valamilyen rate limitet legalabb beallithattak volna a levelezesukre (ha mar spamszures nincs kifele), mert a jelek szerint percek alatt millios mennyisegbe kuldtek ki abbol a fiokbol a cuccot...
nalam altalaban 100 level/ora van belove, az tobb mint eleg a normal felhasznalasra, de ilyen esetben eleg hamar megallitja.
84.206.45.194 was not found in our database.
https://www.abuseipdb.com/check/84.206.45.194
Yet ;)
Nem akarok első lenni ;) Halászó levél mögé, standard adatvédelmi rizsát betenni azért valljuk be valahol mélyen még vicces is.
karacsonyra beszallt a NEBIH is :) NISZ-es ip cimrol.
...
Gábor igazolta magát. Ráadásul igazgatási szünetben , szóval munkamániás a csávó. :)
igazi szorgos hangya...
mai:
mar a kekek is spammelnek, friss-ropogos, DKIM-alairt adathalasz:
ip=171.19.10.64 Hungary (Ministry of Local Government and Regional Developm)
mar a kormany is spammel, vagy lehet csak beismerik vegre a pegasust? :)
Épp e héten a NAV-tól jött egy komoly adathalász levél, kamu oldalra vivő linkkel. Egy NAV-os kolléga fiókjából. Elég gáz, ha arra gondolok, hogy ott adatkezelés történik...
ha a korhazakbol, rendorsegtol, kulugytol stb jon az mennyivel jobb? azoknal nincs adatkezeles? :)
sajnos miota barhonnan elerheto egyszeruen az email, tobbnyire 1FA azonositassal, mindig lesznek ilyenek...
csak 1 olyan ugyfelunk volt, ahol nem volt webmail, az userek csak 2FA vpn hasznalataval ertek el a leveleiket, a ceges managelt gepukrol. na naluk nem is volt sose kimeno spammeles, es ez nem az userek ebersegen mult. (fun fact: aztan felkoltoztek O365-be :))
Dehogy, nem jó az sehogy sem. Állami szinten gáz, hogy ilyen megtörténhet. Nem pistike KKV-ról beszélünk.
tovabb bovult a spammelo allami szervek nevsora:
Ide is jött, de ezekkel a onepagecrm-es versenyszférásokkal én már nem bajlódok. Egyszerűen nem értette a csávó, hogy mi a gáz az általuk hostolt "login" formmal amikor abuse-t szerettem volna jelenteni. :)
en max akkor kuzdok abuse-reportolassal ha valahogy atmegy a szuron, de az eleg ritka. ezt is siman megfogta a deepspam2.
multkor volt egy amit jelentettem aztan ugy 3 nap utan jott a valasz hogy koszonik a bejelentest, es majd megvizsgaljak a kozeljovoben. koszike.
Én akkor is jelentek ha spamba megy. Sőt még a hibás fejlécesek is kapnak, de ilyet leginkább csak a közbeszversenyszféra rendszerei küldenek. A fene se érti amúgy, konzervatívok vagyunk de az rfc-kbe szarunk bele (Date field is mandatory)
És pont az ilyen szerencsétlenek miatt tilos eldobni emailt...