Halászat az intenzívről :)

Spam, Adathalászat
From: System Administrator <intenziv@delpestikorhaz.hu>
Received: from webmail.jahndelpest.hu (webmail.jahndelpest.hu [192.168.2.83])
    by mail.jahndelpest.hu (Postfix)


Kedves webfelhasználó!

Frissítjük az összes webmail webes ügyfélfiókot, ezért minden aktív fióktulajdonosnak ellenőriznie és bejelentkeznie kell, hogy a frissítés és az áttérés most érvényes legyen. Ez a biztonság és a hatékonyság javítása érdekében történik a legutóbbi spam e-mailek miatt.

Kattintson a gombra a többi spam e-mail áthelyezéséhez és blokkolásához.

MEGJEGYZÉS: Ha az értesítés kézhezvételétől számított 24 órán belül nem frissíti fiókját, biztonsági okokból fiókját azonnal blokkoljuk.
 

Ilyen kérem amikor az admin még az elfekvőből is dolgozik :P Biztos ciscot használnak. A NISZ-nél van abuse cím? :)

( klixnetwork | 2022. 08. 15., h – 07:24 )

Majdnem azt kérdeztem, hogy mi köze ehhez a NISZ -nek :) a legtöbb kórházban kiszervezett külsős mail szolgáltatót használnak (általában hely kis garázs cégek) - fillérekért, és értelemszerűen a szolgáltatás is olyan színvonalú. Látom itt pont nem erről van szó...

Tippre az utolsó áldozat is ezt szopta be (exchangere havazó add meg a jelszavad page ;)), mondjuk ennek ellentmond , hogy az originating Ip intranetes ami még szomorúbb (mert ugye a saját intranetjükből tolták a szemetet és nem az volt , hogy Gizi megadta a jelszavát, aztán valaki kívülről öntötte a szart) csak ugye ha még ott is az van ahol van pénz, posztó, paripa , mit várunk a one-man-show felhozataltól ;) (de az is lehet, hogy ők is ciscot használtak és a Cisco a hibás ;))

Az a@baratunk.gov.hu remélem nem az all contact belső rövidítése mert akkor a következő két hónap igazi szopóroller lesz megint (mondjuk amúgy is) ;)

( andrej_ v | 2022. 08. 15., h – 09:46 )

Ezt nem ide kéne, hanem a postmaster@ -ra és valamilyen kontakt emailcímükre, hogy mielőbb továbbítsák az illetékes sysadminnak.

Ezzel együtt hívnám fel mindenkinek a figyelmét, hogy a kliensektől kinyert felhasználó+jelszó párosok (legyen az böngésző vagy levelező kliens) mindent is megpróbálnak, bármilyen erős a jelszó. Külön taktika, hogy mindenféle extra identitást vesznek fel a Roundcube-ba, vagy más kurrens webmailbe. Védekezni igen nehéz, de rate limittel egész jól megfogható ez, illetve a mail queue méretének monitorozásával.

Ha a klienssről bányásszák ki az accot, akkor ez teljesen független a szolgáltatótól. Aki tud, az 2FA-val védekezzen ellene.

A kérdés ilyenkor , hogy a postmaster (kukac) biztonságos-e még? Roundcube Webmail/1.3.10 nem egy mai darab, ugye ha be tudott lépni a delikvens, akkor tudott ott más okosságot is csinálni. Ezért szeretek fentebb keresgélni, majd az ISP lejátsza az ügyfelével. (általában nagy ívben tesznek bármilyen abuse reportra :))

Mire az oda eljut... Jellemzően a kliensekről 1-1 mentett account kerül ki, arra röptetik rá a robotokat. Tényleg fotnos, hogy nem a webmailt törik meg általában, akármilyen régi is, hanem egy kikerült account infóval lépnek be. Ezt nem is lehetne feltörésnek nevezni, hiszen fogták és beléptek. Azért ez óriási különbség. Pontosan ezért kéne minnél több fórumon felhívni erre a figyelmüket, mert a "majdleszvalami", az kevés lesz nagyon hamar. Én személy szerint nap mint látom ezt, és tiltunk le emailfiókot bőségesen.

A nekünk küldött emailből én arra tippelnék, hogy egyszerűen ott találtak olyan delikvenst (sajnos mindenhol van erre fogékony ember), aki ráment a linkre és megadta a login adatait. Az a kérdés, hogy ezzel csak annyit kezdtek, hogy elkezdték azon keresztül is halászni (miután csináltak maguknak egy "biztonsági mentést" a fiókban található levelekről :(), vagy ha már benn voltak valamit tákoltak is a nem túl friss roundcubeon :) 

Ez lehet a másik eset igen, hogy egy phising jött.

A levelezést lementik már szinte mindíg. Voltak ebből igen kemény esetek, amikor aktuális levelezésbe ékelődve egy idegen bankszámlára kértek utalást, természetesen nem ellenőrizték vissza ezt, és puff utaltak. Nem három forintról volt szó, és nemzetközi partnerről, a túloldalra ékelődtek be...

Ilyen esetről én is tudok elsőkézből!

Ma mrá Magyarországon is simán ilyen alapos támadást is be lehet kapni, nem is kell ismertnek lenni csak legyen megtérülés a csalónak.

Mondjuk a személyes véleményem hogy magára valamit adó KKV menjen el valamelyik nagy cloud e-mail providerhez, de hát a pénz nagy úr...

Szerintem az ellen a cloud e-mail provider nem véd, ide már pottyant be olyan levél amiben a "vezetőség" érdeklődött az aktuális számlaegyenlegről (a "business email" provider ahonnan érkezett meg nagy ívbe tett az abuse reportra, vagyis a csatolt teljes fejléces email se volt szerintük elegendő bizonyíték :P)

Igen, a fenti példa 1-2 éve történt meg itthon, semmi scifi, a sima valóság volt.

Hiába mész el akármilyen klódprovájderhez, mert a _kliensen_ porszívózzák fel adatot, ráadásul nem a te, hanem a partnered kliens gépén. Kizárólag felhasználók képzésével, mármint érdemivel, lehet ez ellen tenni, és rendes IT ráfordítással. Ez a vakon megyünk a klódba típusú történet értelmetlen teljesen.

Most épp a neurologia tart náluk BMW-s sorsolást, egy vagy két héttel ezelőtt meg a koraszul (tippre koraszülött osztály) nyomult hasonlóval. Úgyhogy vagy mindenki hülye ott, vagy valami komolyabb gebasz van. 

https://www.abuseipdb.com/check/84.206.67.8

Már megjelentek az abusedb-n is :)

Én ezt eddig nem láttam, de a leírtak alapján azt teljesen kizártnak tartom, hogy belső ember ebben nem volt benne... Pláne, hogy ilyen összegeknél egy e-mail alapján, mindeféle további ellenőrzés nélkül változtatnak cél bankszámlaszámot menet közben, mikor a valóságban irtózat ritkán változik bárki legitim cél bankszámlaszáma, mert annyi a változtatással a macera.

( arpi_esp v | 2022. 08. 15., h – 20:41 )

kaptunk mi is belole, nekem 5:31-kor jott riasztas:

[PyC] Sender: intenziv@elpestikorhaz.hu [Hungary (NISZ)]

Subj: Figyelem
From: intenziv@delpestikorhaz.hu
Send: intenziv@delpestikorhaz.hu
IP:   (mail.jahndelpest.hu [84.206.67.8])(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
Grey: OK (suspect=0, ip=84.206.67.8)
Deep:  last=100  avg=100
Size:  last=4219  avg=4219
Count: mails=2 recips=49 (49 spam)

Deep Grey Rcpt  Size  Addr
100   0   7     4219 intenziv@elpestikorhaz.hu
100   0  42     4219 intenziv@elpestikorhaz.hu
Min_susp=0

Én is néztem, biztos rosszul vágta a script :) 

Ma beszállt a bmmi(dot)hu is a játékba. (Ha már szerencsétlen mailserver be van állítva , hogy DKIM aláírjon talán célszerű lenne felvenni a DKIM rekordod a domainhez, hogy az ilyen fontos levelek biztosan célba érjenek :))

levagja a localpartot es a domaint is 16-16 karakterre, jobb volt fix 32 karakterre indexelni a db-t mint blobokra... es az eredmenyt nem befolyasolja.

    loc=sender_split[0][0:16]
    dom=sender_split[1][-16:]

    cursor.execute("INSERT INTO szamlalo2(domain,localpart,count,counthu,size,deep,grey) VALUES (%s,%s,%s,%s,%s,%s,%s);", (dom,loc,num_rcpt,num_rcpthu,bl_size,bl_deep,bl_susp))

    cursor.execute("SELECT COUNT(count),SUM(count),SUM(counthu),AVG(size),AVG(deep) FROM szamlalo2 WHERE datum >= DATE_SUB(NOW(),INTERVAL 36000 SECOND) AND domain=%s AND localpart=%s;",(dom,loc))

    cursor.execute("SELECT COUNT(count),SUM(count),SUM(counthu),AVG(size),AVG(deep) FROM szamlalo2 WHERE datum >= DATE_SUB(NOW(),INTERVAL 36000 SECOND) AND domain=%s;",(dom,))

( agostonl | 2022. 08. 16., k – 13:47 )

Nincs itt semmi látnivaló, sok az olvasni/értelmezni nem tudó felhasználó.

Az egészségügyben, jellemzően, képzés nélkül adnak jogosultságot a felhasználóknak.

Mielőtt balhé lenne belőle, nem a felhasználók problémája.

( •̀ᴗ•́)╭∩╮

"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"

"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"

egy probnnlema azert van, valamilyen rate limitet legalabb beallithattak volna a levelezesukre (ha mar spamszures nincs kifele), mert a jelek szerint percek alatt millios mennyisegbe kuldtek ki abbol a fiokbol a cuccot...

nalam altalaban 100 level/ora van belove, az tobb mint eleg a normal felhasznalasra, de ilyen esetben eleg hamar megallitja.

( gemnon v | 2022. 08. 19., p – 14:57 )

Szerkesztve: 2022. 08. 19., p – 15:10

84.206.45.194 was not found in our database.

https://www.abuseipdb.com/check/84.206.45.194

Yet ;)

Nem akarok első lenni ;) Halászó levél mögé, standard adatvédelmi rizsát betenni azért valljuk be valahol mélyen még vicces is.

( arpi_esp v | 2022. 12. 27., k – 13:24 )

karacsonyra beszallt a NEBIH is :)   NISZ-es ip cimrol.

Received: from hangya.nebih.gov.hu (svc0.mgszh.gov.hu [84.206.46.220])
	by sendmail.uni-obuda.hu (Postfix) with ESMTP id 4Nh6dV0M8ZzbhYG
	for <xxx.yyy@zzz.hu>; Tue, 27 Dec 2022 09:05:02 +0100 (CET)
X-AuditID: 0a00012a-ad7ff70000000a17-a3-63aa94a5458f
From: =?iso-8859-2?Q?Kokavecz_G=E1bor?= <KokaveczG@nebih.gov.hu>

Kedves email felhasználó!

Az összes e-mail fiókot áttelepítjük az új Outlook Web App 2022-be, ezért minden aktív fióktulajdonosnak igazolnia kell magát, és be kell jelentkeznie

...

( arpi_esp v | 2023. 09. 06., sze – 07:25 )

mar a kekek is spammelnek, friss-ropogos, DKIM-alairt adathalasz:

 

ip=171.19.10.64   Hungary (Ministry of Local Government and Regional Developm)

>Received: from mail5.police.hu (mail5.police.hu [171.19.10.64])
	(using TLSv1.2 with cipher ADH-AES256-GCM-SHA384 (256/256 bits))
	(No client certificate requested)
	by XXX.hu (Postfix) with ESMTPS id 4RgVy569BMzbrYV;
	Wed,  6 Sep 2023 07:18:05 +0200 (CEST)

Figyelem. Minden fióktulajdonos, aki megtagadja fiókja frissítését az e-mail kézhezvételétol számított 4 órán belül, véglegesen elveszíti fiókját, kattintson ide a frissítéshez<https://mecsekfuszert.webflow.io>.  Köszönjük együttmuködését!

( arpi_esp v | 2023. 12. 01., p – 08:42 )

mar a kormany is spammel, vagy lehet csak beismerik vegre a pegasust? :)

IP:   (maild.mfa.gov.hu [84.206.43.218])  Hungary (NISZ)
Szia, perverz kis barátom!

Térjünk rögtön a lényegre!
Már egy jó ideje ismerjük egymást, vagy legalább is én ismerlek téged.
Nyugodtan hívhatsz Big Brother-nek vagy akár Mindentlátó Szemnek is.

( Proci85 v | 2023. 12. 01., p – 18:58 )

Épp e héten a NAV-tól jött egy komoly adathalász levél, kamu oldalra vivő linkkel. Egy NAV-os kolléga fiókjából. Elég gáz, ha arra gondolok, hogy ott adatkezelés történik...

ha a korhazakbol, rendorsegtol, kulugytol stb jon az mennyivel jobb? azoknal nincs adatkezeles? :)

sajnos miota barhonnan elerheto egyszeruen az email, tobbnyire 1FA azonositassal, mindig lesznek ilyenek...

csak 1 olyan ugyfelunk volt, ahol nem volt webmail, az userek csak 2FA vpn hasznalataval ertek el a leveleiket, a ceges managelt gepukrol. na naluk nem is volt sose kimeno spammeles, es ez nem az userek ebersegen mult. (fun fact: aztan felkoltoztek O365-be :))

( arpi_esp v | 2024. 01. 10., sze – 13:40 )

Szerkesztve: 2024. 01. 10., sze – 13:42

tovabb bovult a spammelo allami szervek nevsora:

 

Received: from mail9.birosag.hu (mail8.birosag.hu [84.206.25.13])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
	 key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)
	(No client certificate requested)
	by sendmail.uni-obuda.hu (Postfix) with ESMTPS id 4T96fN3fCszbpJq
	for <XXXX@YYY.uni-obuda.hu>; Wed, 10 Jan 2024 13:33:32 +0100 (CET)
From:
	=?iso-8859-1?Q?Vukov_Judit_=5BBudapest_K=F6rny=E9ki_T=F6rv=E9nysz=E9k=5D?=
	<VukovJ@obh.ZZZ.hu>
Subject: =?iso-8859-1?Q?RE:_=DCgyf=E9lszolg=E1lat?=
Date: Wed, 10 Jan 2024 06:46:51 +0000
Message-ID: <61b18aa66a5344d499f8734b8df81ad5@obh.birosag.hu>

Kedves email felhasználó!

Az összes e-mail fiókot áttelepítjük az új Outlook Web App 2024-be, ezért minden aktív fióktulajdonosnak igazolnia kell magát, és be kell jelentkeznie ahhoz, hogy a frissítés és az áttelepítés most automatikusan életbe lépjen. Ennek célja a biztonság és a hatékonyság javítása a legutóbbi spam üzenetek miatt.

A szolgáltatás megszakadásának elkerülése érdekében, kérjük, kattintson az alábbi linkre a bejegyzések frissítéséhez

...

Én akkor is jelentek ha spamba megy. Sőt még a hibás fejlécesek is kapnak, de ilyet leginkább csak a közbeszversenyszféra rendszerei küldenek. A fene se érti amúgy, konzervatívok vagyunk de az rfc-kbe szarunk bele (Date field is mandatory)

És pont az ilyen szerencsétlenek miatt tilos eldobni emailt...