Halászat az intenzívről :)

Fórumok
From: System Administrator <intenziv@delpestikorhaz.hu>
Received: from webmail.jahndelpest.hu (webmail.jahndelpest.hu [192.168.2.83])
    by mail.jahndelpest.hu (Postfix)


Kedves webfelhasználó!

Frissítjük az összes webmail webes ügyfélfiókot, ezért minden aktív fióktulajdonosnak ellenőriznie és bejelentkeznie kell, hogy a frissítés és az áttérés most érvényes legyen. Ez a biztonság és a hatékonyság javítása érdekében történik a legutóbbi spam e-mailek miatt.

Kattintson a gombra a többi spam e-mail áthelyezéséhez és blokkolásához.

MEGJEGYZÉS: Ha az értesítés kézhezvételétől számított 24 órán belül nem frissíti fiókját, biztonsági okokból fiókját azonnal blokkoljuk.
 

Ilyen kérem amikor az admin még az elfekvőből is dolgozik :P Biztos ciscot használnak. A NISZ-nél van abuse cím? :)

Hozzászólások

Majdnem azt kérdeztem, hogy mi köze ehhez a NISZ -nek :) a legtöbb kórházban kiszervezett külsős mail szolgáltatót használnak (általában hely kis garázs cégek) - fillérekért, és értelemszerűen a szolgáltatás is olyan színvonalú. Látom itt pont nem erről van szó...

Tippre az utolsó áldozat is ezt szopta be (exchangere havazó add meg a jelszavad page ;)), mondjuk ennek ellentmond , hogy az originating Ip intranetes ami még szomorúbb (mert ugye a saját intranetjükből tolták a szemetet és nem az volt , hogy Gizi megadta a jelszavát, aztán valaki kívülről öntötte a szart) csak ugye ha még ott is az van ahol van pénz, posztó, paripa , mit várunk a one-man-show felhozataltól ;) (de az is lehet, hogy ők is ciscot használtak és a Cisco a hibás ;))

Az a@baratunk.gov.hu remélem nem az all contact belső rövidítése mert akkor a következő két hónap igazi szopóroller lesz megint (mondjuk amúgy is) ;)

Ezt nem ide kéne, hanem a postmaster@ -ra és valamilyen kontakt emailcímükre, hogy mielőbb továbbítsák az illetékes sysadminnak.

Ezzel együtt hívnám fel mindenkinek a figyelmét, hogy a kliensektől kinyert felhasználó+jelszó párosok (legyen az böngésző vagy levelező kliens) mindent is megpróbálnak, bármilyen erős a jelszó. Külön taktika, hogy mindenféle extra identitást vesznek fel a Roundcube-ba, vagy más kurrens webmailbe. Védekezni igen nehéz, de rate limittel egész jól megfogható ez, illetve a mail queue méretének monitorozásával.

Ha a klienssről bányásszák ki az accot, akkor ez teljesen független a szolgáltatótól. Aki tud, az 2FA-val védekezzen ellene.

A kérdés ilyenkor , hogy a postmaster (kukac) biztonságos-e még? Roundcube Webmail/1.3.10 nem egy mai darab, ugye ha be tudott lépni a delikvens, akkor tudott ott más okosságot is csinálni. Ezért szeretek fentebb keresgélni, majd az ISP lejátsza az ügyfelével. (általában nagy ívben tesznek bármilyen abuse reportra :))

Mire az oda eljut... Jellemzően a kliensekről 1-1 mentett account kerül ki, arra röptetik rá a robotokat. Tényleg fotnos, hogy nem a webmailt törik meg általában, akármilyen régi is, hanem egy kikerült account infóval lépnek be. Ezt nem is lehetne feltörésnek nevezni, hiszen fogták és beléptek. Azért ez óriási különbség. Pontosan ezért kéne minnél több fórumon felhívni erre a figyelmüket, mert a "majdleszvalami", az kevés lesz nagyon hamar. Én személy szerint nap mint látom ezt, és tiltunk le emailfiókot bőségesen.

A nekünk küldött emailből én arra tippelnék, hogy egyszerűen ott találtak olyan delikvenst (sajnos mindenhol van erre fogékony ember), aki ráment a linkre és megadta a login adatait. Az a kérdés, hogy ezzel csak annyit kezdtek, hogy elkezdték azon keresztül is halászni (miután csináltak maguknak egy "biztonsági mentést" a fiókban található levelekről :(), vagy ha már benn voltak valamit tákoltak is a nem túl friss roundcubeon :) 

Ez lehet a másik eset igen, hogy egy phising jött.

A levelezést lementik már szinte mindíg. Voltak ebből igen kemény esetek, amikor aktuális levelezésbe ékelődve egy idegen bankszámlára kértek utalást, természetesen nem ellenőrizték vissza ezt, és puff utaltak. Nem három forintról volt szó, és nemzetközi partnerről, a túloldalra ékelődtek be...

Ilyen esetről én is tudok elsőkézből!

Ma mrá Magyarországon is simán ilyen alapos támadást is be lehet kapni, nem is kell ismertnek lenni csak legyen megtérülés a csalónak.

Mondjuk a személyes véleményem hogy magára valamit adó KKV menjen el valamelyik nagy cloud e-mail providerhez, de hát a pénz nagy úr...

Szerintem az ellen a cloud e-mail provider nem véd, ide már pottyant be olyan levél amiben a "vezetőség" érdeklődött az aktuális számlaegyenlegről (a "business email" provider ahonnan érkezett meg nagy ívbe tett az abuse reportra, vagyis a csatolt teljes fejléces email se volt szerintük elegendő bizonyíték :P)

Igen, a fenti példa 1-2 éve történt meg itthon, semmi scifi, a sima valóság volt.

Hiába mész el akármilyen klódprovájderhez, mert a _kliensen_ porszívózzák fel adatot, ráadásul nem a te, hanem a partnered kliens gépén. Kizárólag felhasználók képzésével, mármint érdemivel, lehet ez ellen tenni, és rendes IT ráfordítással. Ez a vakon megyünk a klódba típusú történet értelmetlen teljesen.

Most épp a neurologia tart náluk BMW-s sorsolást, egy vagy két héttel ezelőtt meg a koraszul (tippre koraszülött osztály) nyomult hasonlóval. Úgyhogy vagy mindenki hülye ott, vagy valami komolyabb gebasz van. 

https://www.abuseipdb.com/check/84.206.67.8

Már megjelentek az abusedb-n is :)

Én ezt eddig nem láttam, de a leírtak alapján azt teljesen kizártnak tartom, hogy belső ember ebben nem volt benne... Pláne, hogy ilyen összegeknél egy e-mail alapján, mindeféle további ellenőrzés nélkül változtatnak cél bankszámlaszámot menet közben, mikor a valóságban irtózat ritkán változik bárki legitim cél bankszámlaszáma, mert annyi a változtatással a macera.

kaptunk mi is belole, nekem 5:31-kor jott riasztas:

[PyC] Sender: intenziv@elpestikorhaz.hu [Hungary (NISZ)]

Subj: Figyelem
From: intenziv@delpestikorhaz.hu
Send: intenziv@delpestikorhaz.hu
IP:   (mail.jahndelpest.hu [84.206.67.8])(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
Grey: OK (suspect=0, ip=84.206.67.8)
Deep:  last=100  avg=100
Size:  last=4219  avg=4219
Count: mails=2 recips=49 (49 spam)

Deep Grey Rcpt  Size  Addr
100   0   7     4219 intenziv@elpestikorhaz.hu
100   0  42     4219 intenziv@elpestikorhaz.hu
Min_susp=0

Én is néztem, biztos rosszul vágta a script :) 

Ma beszállt a bmmi(dot)hu is a játékba. (Ha már szerencsétlen mailserver be van állítva , hogy DKIM aláírjon talán célszerű lenne felvenni a DKIM rekordod a domainhez, hogy az ilyen fontos levelek biztosan célba érjenek :))

levagja a localpartot es a domaint is 16-16 karakterre, jobb volt fix 32 karakterre indexelni a db-t mint blobokra... es az eredmenyt nem befolyasolja.

    loc=sender_split[0][0:16]
    dom=sender_split[1][-16:]

    cursor.execute("INSERT INTO szamlalo2(domain,localpart,count,counthu,size,deep,grey) VALUES (%s,%s,%s,%s,%s,%s,%s);", (dom,loc,num_rcpt,num_rcpthu,bl_size,bl_deep,bl_susp))

    cursor.execute("SELECT COUNT(count),SUM(count),SUM(counthu),AVG(size),AVG(deep) FROM szamlalo2 WHERE datum >= DATE_SUB(NOW(),INTERVAL 36000 SECOND) AND domain=%s AND localpart=%s;",(dom,loc))

    cursor.execute("SELECT COUNT(count),SUM(count),SUM(counthu),AVG(size),AVG(deep) FROM szamlalo2 WHERE datum >= DATE_SUB(NOW(),INTERVAL 36000 SECOND) AND domain=%s;",(dom,))

Nincs itt semmi látnivaló, sok az olvasni/értelmezni nem tudó felhasználó.

Az egészségügyben, jellemzően, képzés nélkül adnak jogosultságot a felhasználóknak.

Mielőtt balhé lenne belőle, nem a felhasználók problémája.

ʕ -`ᴥ-'´ʔ 

egy probnnlema azert van, valamilyen rate limitet legalabb beallithattak volna a levelezesukre (ha mar spamszures nincs kifele), mert a jelek szerint percek alatt millios mennyisegbe kuldtek ki abbol a fiokbol a cuccot...

nalam altalaban 100 level/ora van belove, az tobb mint eleg a normal felhasznalasra, de ilyen esetben eleg hamar megallitja.

Szerkesztve: 2022. 08. 19., p – 15:10

84.206.45.194 was not found in our database.

https://www.abuseipdb.com/check/84.206.45.194

Yet ;)

Nem akarok első lenni ;) Halászó levél mögé, standard adatvédelmi rizsát betenni azért valljuk be valahol mélyen még vicces is.