Spam, Adathalászat

Sziasztok!

Egy rejtélyes levelet szeretnék megfejteni.
Ma reggel jött egy kamu banki mail ilyen kezdettel:

"Fiók ellenőrzés szükséges
Tisztelt Ügyfelünk,
Rendszerünk észlelte, hogy K&H Bank fiókja ellenőrzésre szorul a felfüggesztés elkerülése érdekében."

A feladó info@kh.hu

A levél fejléce:

Return-Path: <bounces+32934010-8d23-user=xxx.hu@sendgrid.net>
Delivered-To: user@xxx.hu
X-Virus-Scanned: Clamav at mail.xxx.hu
Received-SPF: Pass (mailfrom) identity=mailfrom; client-ip=168.245.115.227; helo=o168245115x227.outbound-mail.sendgrid.net; envelope-from=bounces+32934010-8d23-user=xxx.hu@sendgrid.net; receiver=<UNKNOWN> 
Received: from o168245115x227.outbound-mail.sendgrid.net (o168245115x227.outbound-mail.sendgrid.net [168.245.115.227])
        (using TLSv1.3 with cipher TLS_AES_128_GCM_SHA256 (128/128 bits)
         key-exchange X25519 server-signature RSA-PSS (2048 bits) server-digest SHA256)
        (No client certificate requested)
        by mail.xxx.hu (Postfix) with ESMTPS id DB43D120479
        for <user@xxx.hu>; Tue, 28 Oct 2025 09:40:52 +0100 (CET)
 

A levélben szereplő "Fiók ellenőrzése" gomb ide mutatott: https://u32934010.ct.sendgrid.net/ls/click?upn=u001.C7GiZ-2FSmbwgP-2BHb…

Rákattintva ma már not found belső hibaoldalra visz.
Egyértelműen kamu az egész, viszont a kh.hu domain tényleg a k&h bankhoz tartozik, 2000 óta beregisztrálva.
Az SPF szűrőm elvileg jól működik egy kontra teszt szerint. SPF FAIL hibával visszadobja a TXT rekordban nem engedélyezett smtp IP-ről érkező leveleket.
Ez a levél még is átjött SPF PASS eredménnyel.

Ezen az oldalon teszteltem a 168.245.115.227 IP címet és a kh.hu domaint. Szerinte FAIL.

Vajon időközben kivették a kh.hu domain SPF rekordjából ezt az IP-t vagy az én szűrőm csinált egy téves PASS-t?

Köszi, ha segítetek kibogozni.

https://logsol.hu/

Amiért ezt kérdezem az, hogy kaptam tőlük olyan e-mailt, amiben van egy 1,6mega pdf.img kiterjesztésű file egy olyan email címre, amit sehol nem adok meg soha sem. Szerintem ez a file egyértelműen jelzi, hogy nem kéne megnyitnom és nem is nyitom. Ezzel a céggel soha nem volt semmilyen kapcsolatom. Jelezzem a cégnek hogy ilyen levél jött a @logsol.hu mélről, vagy ilyenkor mi a helyes eljárás az email törtésén kívül a cég felé?

Ma szeptember 1-én délután fél 5-kor beesett egy sms, Yetteles számról. (olyan eldobós kinézetű)

Miszerint 17240 Ft adótartozásom van. Ha nem fizetem be szeptember másodikáig, akkor késedelmi kamatot számolnak fel.

Link a szöveg végén. (hátétépées máj-navgovpontcom) Erre eszem ágában sincs rányomni a telón.
Notin, böngészőbe beírva, ilyen weboldal nincs.

Ezzel az 1 napos határidővel lehet berántanak pár embert. Az ész nélküli rohanást, figyelmetlenséget kihasználva.

Anyósom is kapott ma egy sms-t a Yettel-től (vagy csak nevében), hogy nincs befizetve a számlája.
Az is érdekes mert én rendezem a családi flottát és nekem nem jött e-mail tartozásról. Minden számla rendezve.

Kíváncsi vagyok milyen csudalink lehet abban az sms-ben.

Az imént kaptam egy ilyet "Orbán Viktor" feladóval a kozpont kukac dpkor.hu címről:

"Gratulálok, felvételt nyertél a Digitális Polgári Körbe. Meginvitállak az általunk alapított, egyes számú Digitális Polgári Kör privát Facebook csoportjába: ..."

Más is kapott ilyet? Nagyon érdekelne, hogy milyen adatbázisból dolgoznak, honnan szedték az email címemet. Természetesen eszembem sem volt ilyenekre feliratkozni.

Megszortak tobb ugyfelem osszes mail cimet ma reggel ezzel a gyonyoruseggel, a szuron atment siman. Vegig nem olvastam, csak bele-beleneztem, de nem vagom hogy itt mi az atb@szas, vagy mire megy ki a jatek? Vagy csak valami antiAI szekta ennyire beleelte magat hitenek terjesztesebe?

Inkabb nem is masolom ide, akit erdekel katt: https://pastebin.com/BgNT8Pc4

A felado valtozo volt, de mind valos (spf/dkim ok) yahoo es protonmail fiok, james+szam@(yahoo|protonmail).com formaban.

Link/URL nem volt a levelekben.

Ma email-ben érkezett a jóság az ügyfél egyik központi e-mail címére. 

Feladó: DLA Piper és egy gmail-es cím
Tárgy: Szerzői jog megsértésére vonatkozó értesítés - DLA Piper

A tartalma meg kb. az, hogy jogi értesítés, és szépen magyarul - bár még érződik rajta, hogy AI csinálta a fordítást - megfogalmazva, hogy a Facebook-on közzétett anyag jogsértő, blabla. És akkor egy piros PDF ikon (Fájl nyilvántartás: A szellemi tulajdon jogainak megsértése.pdf). Emögött egy t2m.io link, ami egy cirka ~150 megás zip. Benne egy 50 megás semmi, egyéb szemetek, egy 25 megás PDF fájl, ami valójában egy sokezer soros (nyilván hibás) PEM Certificate. És az ominózus Szellemi_tulajdonjog_megsértésének_bizonyítékai.exe fájl. A marketing osztály több tagját is triggerelte az eddigi tartalom és elindították... Baj nem lett belőle, mert működött a védelem, de hát idáig sem kellett volna eljutnunk. A tisztánlátás végett belenéztünk elég alaposan, hogy mi is jött be, és rengeteg megtévesztő szemét mellett sok base64, gzip, base85, újabb link, python kód, megint base85, pastebinről letöltőtt python kód, marshal, stb... körön keresztül eljutottunk az RSA private key-ig és még valamilyen kulcsig. A vége egy Python marshal kód, amit már nem fejtettünk vissza, de nem is olyan triviális, mert meg van zagyválva alaposan. Viszont tisztán látható volt benne (szintén base85, gzip kódolva) az RSA kulcs. 

Ezt a posztot első sorban azoknak szánom, akik netán beleszaladnak ebbe vagy hasonlóba, és hátha segítséget nyújt a ma általunk összegyűjtött info. Az egészről készült munkakönyvtárat feltöltöttem ide:
https://gist.github.com/andrewjsi/7877ce845769554d6484df8545a6b9fc

JSI

Jött három levél, látszólag mindhárom a Temuról. Linkek is látszólag rendben vannak. Először megköszönték a regisztrációt, aztán visszaigazolták a rendelést, majd a kiszállításról értesítettek. Ráadásul Magyar Posta logós levéllel, miszerint bátran kattintsak, hogy nyomon követhessem a csomagomat.

A csomagkövetős link persze nem a Postára mutat. A levél szövegébe beírt Posta csomagazonosító a valóságban nem létezik. Annyi eszem azért volt, hogy ezt a Posta csomagkeresőben megnézzem.

Gyanús volt még az is, hogy egy világvégi kis faluba szólt a csomagrendelés címe, tehát a lakhelyemet nem sikerült kideríteniük. Az e-mail fiókom is rendben van, nem törte fel senki.

A megdöbbentő az egészben az volt, hogy a mail headerből nem derült ki, hogy ez nem a Temu levele. A levél összes grafikai eleme, a magyar nyelvű szövegezés teljesen hitelesnek tűnt. Annyira profi volt az egész, hogy ilyet még nem láttunk.

Vajon járt-e így más is?

Ma kaptam egy új technikai megoldást e-mailen keresztül, amiben ez a szöveg:

Sziasztok!

Csatoltan küldöm megrendelésünket!

Csatolmányban egy Megrendelés_1023200000000000305.img 1,5MB-os file van.

Természetesen delete az üzenet, nagy a gyanúm, hogy ez nem nigériai feladós, hanem magyarul jól beszélő. Bár az MI is képes lehet helyesen fordítani.

Találkozott már más is ilyen jellegű megtévesztéssel?

Holland rendőrségen és ügyészségen dolgozók teljes névsorát, e-mail címét és munkakörök leírását hackerek ellopták – erről Janny Knol rendőrkapitány csütörtökön tájékoztatta a minisztert.

A heti kormányülésen David Van Weel (igazságügyi miniszter) tisztázta, hogy az „egész szervezetet” érinti: portástól a rendőrig, valamint - akik titkosan dolgoznak azok neveit is. 2022 év végén 64 000 főállású rendőr volt. 

NL Times

Politico

https://www.facebook.com/profile.php?id=100069920714059

osztotta meg:

https://xpertaffil.com/YqjfsLqs?utm_creative=%D0%9D%D0%BE%D0%B2%D0%BE%D…

"A Magyarország központi bank beperli Hernádi Zsolt az élő televízióban tett kijelentései miatt."

ki mennyi idő alatt veszi észre h. a domain nem is az index.hu és h. AI generált a szöveg? a történet meg túl szépen hangzik ahhoz h. igaz legyen.

de biztos sokakat sikerül becsapnia vele

teljes screenshot az oldalról: https://i.postimg.cc/dv3cJ5Z4/Firefox-Screenshot-2024-09-28-T10-44-51-9…

rodneymullen2 hol vagy? :D https://hup.hu/blog/21064 értsd: https://9gag.com/gag/ayNBE0M v. https://www.youtube.com/live/Llh4_h-vvKQ