Halászat az intenzívről :)

Spam, Adathalászat
From: System Administrator <intenziv@delpestikorhaz.hu>
Received: from webmail.jahndelpest.hu (webmail.jahndelpest.hu [192.168.2.83])
    by mail.jahndelpest.hu (Postfix)


Kedves webfelhasználó!

Frissítjük az összes webmail webes ügyfélfiókot, ezért minden aktív fióktulajdonosnak ellenőriznie és bejelentkeznie kell, hogy a frissítés és az áttérés most érvényes legyen. Ez a biztonság és a hatékonyság javítása érdekében történik a legutóbbi spam e-mailek miatt.

Kattintson a gombra a többi spam e-mail áthelyezéséhez és blokkolásához.

MEGJEGYZÉS: Ha az értesítés kézhezvételétől számított 24 órán belül nem frissíti fiókját, biztonsági okokból fiókját azonnal blokkoljuk.
 

Ilyen kérem amikor az admin még az elfekvőből is dolgozik :P Biztos ciscot használnak. A NISZ-nél van abuse cím? :)

  • 5483 megtekintés

( klixnetwork | 2022. 08. 15., h – 07:24 )

Majdnem azt kérdeztem, hogy mi köze ehhez a NISZ -nek :) a legtöbb kórházban kiszervezett külsős mail szolgáltatót használnak (általában hely kis garázs cégek) - fillérekért, és értelemszerűen a szolgáltatás is olyan színvonalú. Látom itt pont nem erről van szó...

Tippre az utolsó áldozat is ezt szopta be (exchangere havazó add meg a jelszavad page ;)), mondjuk ennek ellentmond , hogy az originating Ip intranetes ami még szomorúbb (mert ugye a saját intranetjükből tolták a szemetet és nem az volt , hogy Gizi megadta a jelszavát, aztán valaki kívülről öntötte a szart) csak ugye ha még ott is az van ahol van pénz, posztó, paripa , mit várunk a one-man-show felhozataltól ;) (de az is lehet, hogy ők is ciscot használtak és a Cisco a hibás ;))

Az a@baratunk.gov.hu remélem nem az all contact belső rövidítése mert akkor a következő két hónap igazi szopóroller lesz megint (mondjuk amúgy is) ;)

( andrej_ v | 2022. 08. 15., h – 09:46 )

Ezt nem ide kéne, hanem a postmaster@ -ra és valamilyen kontakt emailcímükre, hogy mielőbb továbbítsák az illetékes sysadminnak.

Ezzel együtt hívnám fel mindenkinek a figyelmét, hogy a kliensektől kinyert felhasználó+jelszó párosok (legyen az böngésző vagy levelező kliens) mindent is megpróbálnak, bármilyen erős a jelszó. Külön taktika, hogy mindenféle extra identitást vesznek fel a Roundcube-ba, vagy más kurrens webmailbe. Védekezni igen nehéz, de rate limittel egész jól megfogható ez, illetve a mail queue méretének monitorozásával.

Ha a klienssről bányásszák ki az accot, akkor ez teljesen független a szolgáltatótól. Aki tud, az 2FA-val védekezzen ellene.

A kérdés ilyenkor , hogy a postmaster (kukac) biztonságos-e még? Roundcube Webmail/1.3.10 nem egy mai darab, ugye ha be tudott lépni a delikvens, akkor tudott ott más okosságot is csinálni. Ezért szeretek fentebb keresgélni, majd az ISP lejátsza az ügyfelével. (általában nagy ívben tesznek bármilyen abuse reportra :))

Mire az oda eljut... Jellemzően a kliensekről 1-1 mentett account kerül ki, arra röptetik rá a robotokat. Tényleg fotnos, hogy nem a webmailt törik meg általában, akármilyen régi is, hanem egy kikerült account infóval lépnek be. Ezt nem is lehetne feltörésnek nevezni, hiszen fogták és beléptek. Azért ez óriási különbség. Pontosan ezért kéne minnél több fórumon felhívni erre a figyelmüket, mert a "majdleszvalami", az kevés lesz nagyon hamar. Én személy szerint nap mint látom ezt, és tiltunk le emailfiókot bőségesen.

A nekünk küldött emailből én arra tippelnék, hogy egyszerűen ott találtak olyan delikvenst (sajnos mindenhol van erre fogékony ember), aki ráment a linkre és megadta a login adatait. Az a kérdés, hogy ezzel csak annyit kezdtek, hogy elkezdték azon keresztül is halászni (miután csináltak maguknak egy "biztonsági mentést" a fiókban található levelekről :(), vagy ha már benn voltak valamit tákoltak is a nem túl friss roundcubeon :) 

Ez lehet a másik eset igen, hogy egy phising jött.

A levelezést lementik már szinte mindíg. Voltak ebből igen kemény esetek, amikor aktuális levelezésbe ékelődve egy idegen bankszámlára kértek utalást, természetesen nem ellenőrizték vissza ezt, és puff utaltak. Nem három forintról volt szó, és nemzetközi partnerről, a túloldalra ékelődtek be...

Ilyen esetről én is tudok elsőkézből!

Ma mrá Magyarországon is simán ilyen alapos támadást is be lehet kapni, nem is kell ismertnek lenni csak legyen megtérülés a csalónak.

Mondjuk a személyes véleményem hogy magára valamit adó KKV menjen el valamelyik nagy cloud e-mail providerhez, de hát a pénz nagy úr...

Szerintem az ellen a cloud e-mail provider nem véd, ide már pottyant be olyan levél amiben a "vezetőség" érdeklődött az aktuális számlaegyenlegről (a "business email" provider ahonnan érkezett meg nagy ívbe tett az abuse reportra, vagyis a csatolt teljes fejléces email se volt szerintük elegendő bizonyíték :P)

Igen, a fenti példa 1-2 éve történt meg itthon, semmi scifi, a sima valóság volt.

Hiába mész el akármilyen klódprovájderhez, mert a _kliensen_ porszívózzák fel adatot, ráadásul nem a te, hanem a partnered kliens gépén. Kizárólag felhasználók képzésével, mármint érdemivel, lehet ez ellen tenni, és rendes IT ráfordítással. Ez a vakon megyünk a klódba típusú történet értelmetlen teljesen.

Most épp a neurologia tart náluk BMW-s sorsolást, egy vagy két héttel ezelőtt meg a koraszul (tippre koraszülött osztály) nyomult hasonlóval. Úgyhogy vagy mindenki hülye ott, vagy valami komolyabb gebasz van. 

https://www.abuseipdb.com/check/84.206.67.8

Már megjelentek az abusedb-n is :)

Én ezt eddig nem láttam, de a leírtak alapján azt teljesen kizártnak tartom, hogy belső ember ebben nem volt benne... Pláne, hogy ilyen összegeknél egy e-mail alapján, mindeféle további ellenőrzés nélkül változtatnak cél bankszámlaszámot menet közben, mikor a valóságban irtózat ritkán változik bárki legitim cél bankszámlaszáma, mert annyi a változtatással a macera.

Elvileg postmaster-nek lennie kellene az RFC szerint (természetesen egy rakás helyen még az sincs), ha meg van valószínűleg olyan olvassa akihez a levelezés tartozik.

Ha visszapattan, akkor még rápróbálok a /.well-known/security.txt -re, hogy van-e kontakt, de ez meg mégritkábban létezik mint a postmaster. :)

>  ha meg van valószínűleg olyan olvassa akihez a levelezés tartozik.

By default a Debianon a postmaster is a rootnak érkezik, az a legtöbb esetben egy lokális mbox fiók, ami csak hízik-hízik aztán időnként kitörlik, ha kevés a hely. Szóval nem, nem nagyon szokták olvasni még ha létezik is.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Én nemrég gyomláltam ki mindenhol, mert csak a szívás van vele.

Csak emiatt kell tartani egy SMTP-t minden gépen, úgy-ahogy bekonfigurálva, hogy legalább az első normális mailszerver vagy spamszűrő ne hajítsa vissza instant a levelet... És akkor még a nem public FQDN neves (.lan, .local) gépekről nem is beszéltem... Azokra vagy valami bekamuzott címet kell adni (ami ugye DKIM/SPF miatt megint szívás), vagy valami from rewrite-ot... Ott van még a 25-ös port problémája, ha sima net előfizetés végén van egy gép. Akkor kell egy relay, amin kiküldi... Azon illik autentikálni. Szóval mindenhogy orbitális szopás.

Egyelőre annyi maradt, hogy local mbox-ba mennek a levelek, amit a zabbix figyel, és van alert ha változás van. És akkor belépek és megnézem. Hosszú távon az az elképzelés, hogy lesz valami faék webes felület, ahova a szerveren futó daemon/script bepostolja a gép mbox-ából a leveleket, és ott lehet nézni. Sajnos teljesen kiiktatni nem lehet, mert beeshet rá 1-2 fontos levél is.

"Sose a gép a hülye."

( arpi_esp v | 2022. 08. 15., h – 20:41 )

kaptunk mi is belole, nekem 5:31-kor jott riasztas:

[PyC] Sender: intenziv@elpestikorhaz.hu [Hungary (NISZ)]

Subj: Figyelem
From: intenziv@delpestikorhaz.hu
Send: intenziv@delpestikorhaz.hu
IP:   (mail.jahndelpest.hu [84.206.67.8])(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
Grey: OK (suspect=0, ip=84.206.67.8)
Deep:  last=100  avg=100
Size:  last=4219  avg=4219
Count: mails=2 recips=49 (49 spam)

Deep Grey Rcpt  Size  Addr
100   0   7     4219 intenziv@elpestikorhaz.hu
100   0  42     4219 intenziv@elpestikorhaz.hu
Min_susp=0

Én is néztem, biztos rosszul vágta a script :) 

Ma beszállt a bmmi(dot)hu is a játékba. (Ha már szerencsétlen mailserver be van állítva , hogy DKIM aláírjon talán célszerű lenne felvenni a DKIM rekordod a domainhez, hogy az ilyen fontos levelek biztosan célba érjenek :))

levagja a localpartot es a domaint is 16-16 karakterre, jobb volt fix 32 karakterre indexelni a db-t mint blobokra... es az eredmenyt nem befolyasolja.

    loc=sender_split[0][0:16]
    dom=sender_split[1][-16:]

    cursor.execute("INSERT INTO szamlalo2(domain,localpart,count,counthu,size,deep,grey) VALUES (%s,%s,%s,%s,%s,%s,%s);", (dom,loc,num_rcpt,num_rcpthu,bl_size,bl_deep,bl_susp))

    cursor.execute("SELECT COUNT(count),SUM(count),SUM(counthu),AVG(size),AVG(deep) FROM szamlalo2 WHERE datum >= DATE_SUB(NOW(),INTERVAL 36000 SECOND) AND domain=%s AND localpart=%s;",(dom,loc))

    cursor.execute("SELECT COUNT(count),SUM(count),SUM(counthu),AVG(size),AVG(deep) FROM szamlalo2 WHERE datum >= DATE_SUB(NOW(),INTERVAL 36000 SECOND) AND domain=%s;",(dom,))

( agostonl | 2022. 08. 16., k – 13:47 )

Nincs itt semmi látnivaló, sok az olvasni/értelmezni nem tudó felhasználó.

Az egészségügyben, jellemzően, képzés nélkül adnak jogosultságot a felhasználóknak.

Mielőtt balhé lenne belőle, nem a felhasználók problémája.

( •̀ᴗ•́)╭∩╮

A VMware egy Ferrari, amit a maffiától bérelsz és mindig a hó elején derül ki éppen mennyi lesz a beszedett díj. 
A Proxmox megy egy Porsche, ami az F1 motorját kapta meg. 
by: jevgenyij

egy probnnlema azert van, valamilyen rate limitet legalabb beallithattak volna a levelezesukre (ha mar spamszures nincs kifele), mert a jelek szerint percek alatt millios mennyisegbe kuldtek ki abbol a fiokbol a cuccot...

nalam altalaban 100 level/ora van belove, az tobb mint eleg a normal felhasznalasra, de ilyen esetben eleg hamar megallitja.

( gemnon v | 2022. 08. 19., p – 14:57 )

Szerkesztve: 2022. 08. 19., p – 15:10

84.206.45.194 was not found in our database.

https://www.abuseipdb.com/check/84.206.45.194

Yet ;)

Nem akarok első lenni ;) Halászó levél mögé, standard adatvédelmi rizsát betenni azért valljuk be valahol mélyen még vicces is.

( arpi_esp v | 2022. 12. 27., k – 13:24 )

karacsonyra beszallt a NEBIH is :)   NISZ-es ip cimrol.

Received: from hangya.nebih.gov.hu (svc0.mgszh.gov.hu [84.206.46.220])
	by sendmail.uni-obuda.hu (Postfix) with ESMTP id 4Nh6dV0M8ZzbhYG
	for <xxx.yyy@zzz.hu>; Tue, 27 Dec 2022 09:05:02 +0100 (CET)
X-AuditID: 0a00012a-ad7ff70000000a17-a3-63aa94a5458f
From: =?iso-8859-2?Q?Kokavecz_G=E1bor?= <KokaveczG@nebih.gov.hu>

Kedves email felhasználó!

Az összes e-mail fiókot áttelepítjük az új Outlook Web App 2022-be, ezért minden aktív fióktulajdonosnak igazolnia kell magát, és be kell jelentkeznie

...

( arpi_esp v | 2023. 09. 06., sze – 07:25 )

mar a kekek is spammelnek, friss-ropogos, DKIM-alairt adathalasz:

 

ip=171.19.10.64   Hungary (Ministry of Local Government and Regional Developm)

>Received: from mail5.police.hu (mail5.police.hu [171.19.10.64])
	(using TLSv1.2 with cipher ADH-AES256-GCM-SHA384 (256/256 bits))
	(No client certificate requested)
	by XXX.hu (Postfix) with ESMTPS id 4RgVy569BMzbrYV;
	Wed,  6 Sep 2023 07:18:05 +0200 (CEST)

Figyelem. Minden fióktulajdonos, aki megtagadja fiókja frissítését az e-mail kézhezvételétol számított 4 órán belül, véglegesen elveszíti fiókját, kattintson ide a frissítéshez<https://mecsekfuszert.webflow.io>.  Köszönjük együttmuködését!

( arpi_esp v | 2023. 12. 01., p – 08:42 )

mar a kormany is spammel, vagy lehet csak beismerik vegre a pegasust? :)

IP:   (maild.mfa.gov.hu [84.206.43.218])  Hungary (NISZ)
Szia, perverz kis barátom!

Térjünk rögtön a lényegre!
Már egy jó ideje ismerjük egymást, vagy legalább is én ismerlek téged.
Nyugodtan hívhatsz Big Brother-nek vagy akár Mindentlátó Szemnek is.

( Proci85 v | 2023. 12. 01., p – 18:58 )

Épp e héten a NAV-tól jött egy komoly adathalász levél, kamu oldalra vivő linkkel. Egy NAV-os kolléga fiókjából. Elég gáz, ha arra gondolok, hogy ott adatkezelés történik...

ha a korhazakbol, rendorsegtol, kulugytol stb jon az mennyivel jobb? azoknal nincs adatkezeles? :)

sajnos miota barhonnan elerheto egyszeruen az email, tobbnyire 1FA azonositassal, mindig lesznek ilyenek...

csak 1 olyan ugyfelunk volt, ahol nem volt webmail, az userek csak 2FA vpn hasznalataval ertek el a leveleiket, a ceges managelt gepukrol. na naluk nem is volt sose kimeno spammeles, es ez nem az userek ebersegen mult. (fun fact: aztan felkoltoztek O365-be :))

( arpi_esp v | 2024. 01. 10., sze – 13:40 )

Szerkesztve: 2024. 01. 10., sze – 13:42

tovabb bovult a spammelo allami szervek nevsora:

 

Received: from mail9.birosag.hu (mail8.birosag.hu [84.206.25.13])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
	 key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)
	(No client certificate requested)
	by sendmail.uni-obuda.hu (Postfix) with ESMTPS id 4T96fN3fCszbpJq
	for <XXXX@YYY.uni-obuda.hu>; Wed, 10 Jan 2024 13:33:32 +0100 (CET)
From:
	=?iso-8859-1?Q?Vukov_Judit_=5BBudapest_K=F6rny=E9ki_T=F6rv=E9nysz=E9k=5D?=
	<VukovJ@obh.ZZZ.hu>
Subject: =?iso-8859-1?Q?RE:_=DCgyf=E9lszolg=E1lat?=
Date: Wed, 10 Jan 2024 06:46:51 +0000
Message-ID: <61b18aa66a5344d499f8734b8df81ad5@obh.birosag.hu>

Kedves email felhasználó!

Az összes e-mail fiókot áttelepítjük az új Outlook Web App 2024-be, ezért minden aktív fióktulajdonosnak igazolnia kell magát, és be kell jelentkeznie ahhoz, hogy a frissítés és az áttelepítés most automatikusan életbe lépjen. Ennek célja a biztonság és a hatékonyság javítása a legutóbbi spam üzenetek miatt.

A szolgáltatás megszakadásának elkerülése érdekében, kérjük, kattintson az alábbi linkre a bejegyzések frissítéséhez

...

Én akkor is jelentek ha spamba megy. Sőt még a hibás fejlécesek is kapnak, de ilyet leginkább csak a közbeszversenyszféra rendszerei küldenek. A fene se érti amúgy, konzervatívok vagyunk de az rfc-kbe szarunk bele (Date field is mandatory)

És pont az ilyen szerencsétlenek miatt tilos eldobni emailt...

( arpi_esp v | 2024. 09. 04., sze – 08:52 )

ujabb kormanyzati-nemzeti adathalasz:

>>Received: from mailgateway.ogyei.gov.hu (mailgateway.ogyei.gov.hu [84.206.29.69])
	(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
	 key-exchange X25519 server-signature RSA-PSS (2048 bits))
	(No client certificate requested)
	by sendmail.uni-obuda.hu (Postfix) with ESMTPS id 4WzCjD1RdmzbqYb;
	Wed,  4 Sep 2024 08:47:28 +0200 (CEST)

>>Message-ID: <76bf63a2491a4330ba99d4c681cdf576@nngyk.gov.hu>
>>From: =?windows-1250?Q?M=E1t=E9_Emese?= <XXX.YYY@nngyk.gov.hu>

DKIM miatt? Olyat még a google sem csinál.

Amúgy sem a DKIM aláírás hamis , szerintem egyszerűen csak elfelejtették a DNS-ben beállítani a selectort. 

dkim=neutral reason="invalid (public key: not available)" header.d=nngyk.gov.hu

( arpi_esp v | 2025. 09. 25., cs – 13:23 )

Szerkesztve: 2025. 09. 25., cs – 13:24

na a bazm(eg)korhaz.hu is elkezdte

 

Subj: Az email fiókod tele van.
From: ******@bazmkorhaz.hu
IP:   (mail1.bazmkorhaz.hu [85.119.10.89])(using TLSv1.2 with cipher ADH-AES256-GCM-SHA384 (256/256 bits))

( Dwokfur v | 2025. 09. 28., v – 19:42 )

Az adott kórház IT megoldása független a NISZ-től. Az infrastruktúra üzemeltetés közös erővel történik, az intézmények csatlakoznak a GEANT-ra/HBONE-ra. Egyes dolgokkal a NISZ foglalkozik, de a helyi infrastruktúra a központi elemektől eltekintve már helyi feladat. Egyébként most dolgozom a Semmelweis Egyetemen és a Gottsegen Kardiológiai Intézetben is és mindkét helyen áttért az IT Microsoft alapú email kezelésre (O365 / domain alapú felhasználói azonosítás). Annak előnyeivel és hátrányaival. Spam szempontból szerintem nem rossz, mert amit a saját rendszeren látok bejönni azt túlnyomó részt automatikusan spam-be rakja a Microsoft-os mail rendszer. A szegedi egyetemen vegyes a kép. Van nekik házi megoldás is, de ott is elmozdultak és forgatódnak ki a lokális megoldások.

A SOTE-n egyébként visszatérően központilag keresnek sebezhetőségeket, látom a scan-eket a logokban. Első alkalommal bejelentettem és akkor írtak, hogy ők csinálják. Nyilván van mindig hova fejlődni, de haladást látok.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

Ha mar Semmelweis... amikor sok eve kiraktam a deepspam 1-et kiprobalasra, valaki beallitotta naluk ezt a milter-t, es eleg sokaig a teljes levelezesuk atment a gepen. nem kicsi level forgalmuk volt! probaltam akkoriban irni postmaster stb cimekre de semmi. vegul inkabb lelottem a szolgaltatast.

Sok minden változott azóta. Az utóbbi időben reagáltak a postmaster-re meg az abuse-ra, de Semmelweis-en belülről követhetőbb, ha a ticket rendszerben van egy hibajegy.

"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."

A SOTE-n egyébként visszatérően központilag keresnek sebezhetőségeket, látom a scan-eket a logokban. Első alkalommal bejelentettem és akkor írtak, hogy ők csinálják. Nyilván van mindig hova fejlődni, de haladást látok.

Ez a móka? Első alkalommal nekem a kutya se jelezte (jó a belső kommunikáció), hogy feliratkoztunk erre.
Az IPS meg kib*szt* az ipket a picsába. Jó tömör report lett. :)

( djtacee | 2025. 10. 14., k – 08:03 )

Szerkesztve: 2025. 10. 14., k – 08:03

Tárgy: Fontos üzenet Önnek
Küldő: simon.cs@levaygimnazium.hu
Részlet: Tájékoztatjuk, hogy egy vagy több okunk van arra gyanakodni, hogy Ön bűncselekményt követett el. További információkért kérjük, olvassa el a mellékelt jelentést. PS: Ez nem tévedés.

A mellékelt PDF-ben egy magyartalan szöveg az "Europol" és a "Magyar Rendőrség" nevében, Yahoo-s válasz e-mail címmel. :D Ténylegesen a 365-ös tenant-jukból jött a levél. Írtam nekik, de sok jóra nem számítok, még a DMARC rekord beállítása sem sikerült nekik:

https://mxtoolbox.com/SuperTool.aspx?action=mx%3alevaygimnazium.hu&run=…

( djtacee | 2025. 10. 14., k – 14:56 )

Tárgy: Új vízdíjszámlája készült: 5024168252
Date: Tue, 14 Oct 2025 12:51:54 +0000
From: "elektronikusszamla@drv.hu" <sales@szecseny.hu>
Reply-To: "elektronikusszamla@drv.hu" <sales@szecseny.hu>
Received: from k25225.tarhely.eu (k25225.tarhely.eu [79.172.252.25])

"Tájékoztatjuk, hogy 5024131890 számú elektronikus számlája elkészült, melyet levelünk mellékleteként küldünk meg Önnek."

CloudWaysApps-os fake oldalra visz.