Re: [FRnOG] [MISC] new stuff

[Edouard Chamillard]

les spammers achetent des listes concatenées provenant de source
diverses. certaines sont triées pour essayer de garantir un certain
niveau de qualité (validation du format, peut etre meme SMTP VERIFY).
d'autres non (et elles sont moins cheres)

je suis pas sur que le spammer lui meme connaisse l'origine réelle des
addresses. ça peut etre des machines compromises (via un malware
desktop, une injection SQL sur un site web, whatever), des crawler sur
le web, etc... etc...



On 06/10/2016 09:34 PM, Jacques Belin wrote:
> Le vendredi 10 juin 2016 20:08:58,
> David Ponzone  a écrit:
>
>> https://www.mail-archive.com/frnog%40frnog.org/msg36725.html 
>> 
>>
>> Y en a des dizaines….centaines comme ça dans l’archive, et c’est pas
>> toujours compliqué de deviner le bon email.
>> Les spammers font des choses bien plus compliquées.
> Sauf que le message que tu cites ne nous apprend rien : les adresses
> sont des abonnées de la liste, on le sait, et je l'ai dit dans mon
> premier message.
>
> Ce n'est pas en se basant sur les adresses des abonnés qu'on apprendra
> quelque chose, mais sur les adresses de ceux qui n'y sont pas..
>
> Par exemple, dans un de ces spams "Fw: new messages", dont plusieurs
> sont soit-disant envoyés par le même abonné en octobre 2015, il y en a
> un qui contient l'adresse "af...@afnog.org" dans les destinataiers (j'ai
> mis ici une adresse qui n'appartient pas à un humain pour des raisons
> évidentes). Or, cette adresse n'est jamais apparue sur frnog (en tous
> cas depuis 2010, date depuis laquelle j'ai conservé la totalité des
> archives de cette liste). Cette adresse n'a donc pu être récupéré que
> sur le compte d'une personne piratée. Les abonnés de frnog qui avaient
> cette addrese sur leur compte avant octobre 2015 devraient donc se poser
> des questions.
> Sauf si, comme je l'ai dit avant, il y a quelque part la concaténation
> de base d'adresses de plusieurs personnes piratées, bref c'est pas si
> simple que ça.
> (ceci dit, que plusieurs personnes en liaison avec une liste *nog, douc
> soit-disant informaticiens et probablement gestionnaires
> d'infrastructure réseau puissent se faire pirater leur compte mail, ca
> fait un peu peur quand même...).
>
>
> Note : je viens de jeter un coup d'oeil sur tous les spams 
> "Fw: new messages" de ce type, recu sur différentes listes depuis
> octobre 2015. En plus de la méthode générale d'adresse multiples dans
> le champ to, il y a un autre indice concret qui montre que la source (et
> donc la méthode de récupération des adresses) est unique : 
> ils on TOUS en commun l'entête "X-Mailer: Microsoft Outlook 15.0"...
> Bien sûr, aucun soit-disant émetteur de ces messages n'utilise ce mailer
> usuellement.
>
>
> A+ Jacques.




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] new stuff

[Jacques Belin]

Le vendredi 10 juin 2016 20:08:58,
David Ponzone  a écrit:

> https://www.mail-archive.com/frnog%40frnog.org/msg36725.html 
> 
> 
> Y en a des dizaines….centaines comme ça dans l’archive, et c’est pas
> toujours compliqué de deviner le bon email.
> Les spammers font des choses bien plus compliquées.

Sauf que le message que tu cites ne nous apprend rien : les adresses
sont des abonnées de la liste, on le sait, et je l'ai dit dans mon
premier message.

Ce n'est pas en se basant sur les adresses des abonnés qu'on apprendra
quelque chose, mais sur les adresses de ceux qui n'y sont pas..

Par exemple, dans un de ces spams "Fw: new messages", dont plusieurs
sont soit-disant envoyés par le même abonné en octobre 2015, il y en a
un qui contient l'adresse "af...@afnog.org" dans les destinataiers (j'ai
mis ici une adresse qui n'appartient pas à un humain pour des raisons
évidentes). Or, cette adresse n'est jamais apparue sur frnog (en tous
cas depuis 2010, date depuis laquelle j'ai conservé la totalité des
archives de cette liste). Cette adresse n'a donc pu être récupéré que
sur le compte d'une personne piratée. Les abonnés de frnog qui avaient
cette addrese sur leur compte avant octobre 2015 devraient donc se poser
des questions.
Sauf si, comme je l'ai dit avant, il y a quelque part la concaténation
de base d'adresses de plusieurs personnes piratées, bref c'est pas si
simple que ça.
(ceci dit, que plusieurs personnes en liaison avec une liste *nog, douc
soit-disant informaticiens et probablement gestionnaires
d'infrastructure réseau puissent se faire pirater leur compte mail, ca
fait un peu peur quand même...).


Note : je viens de jeter un coup d'oeil sur tous les spams 
"Fw: new messages" de ce type, recu sur différentes listes depuis
octobre 2015. En plus de la méthode générale d'adresse multiples dans
le champ to, il y a un autre indice concret qui montre que la source (et
donc la méthode de récupération des adresses) est unique : 
ils on TOUS en commun l'entête "X-Mailer: Microsoft Outlook 15.0"...
Bien sûr, aucun soit-disant émetteur de ces messages n'utilise ce mailer
usuellement.


A+ Jacques.
-- 
Le dernier Homme connecté sur le Net regardait d'anciens sites Web.
"Vous avez du courrier" apparut sur l'écran...
--- adapté d'une courte histoire de Fredric Brown


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] new stuff

[David Ponzone]

https://www.mail-archive.com/frnog%40frnog.org/msg36725.html 


Y en a des dizaines….centaines comme ça dans l’archive, et c’est pas toujours 
compliqué de deviner le bon email.
Les spammers font des choses bien plus compliquées.

> Le 10 juin 2016 à 19:52, Jacques Belin  a écrit :
> 
> 
> Le vendredi 10 juin 2016 19:23:41,
> David Ponzone  a écrit:
> 
>> Dans les archives, tu as des trucs du genre:
>> 
>> De: "Alexis Lameire"  
>> À: "Olivier Mis"  
> 
> J'ai pas cherché/trouvé le message dont tu fais référence, mais en fait
> il manquait un truc dans le spam qui nous est arrivé tout à l'heure :
> Souvent, il y a une liste de destinataire apparente, où on voit aussi
> bien des abonnés de la liste que des adresses totalement inconnues de
> nous.
> 
> La question est : est-ce que ces adresses inconnues font partie du
> carnet d'adresse ou de la base de message de la personne qui s'est faite
> piratée, ou est-ce la concaténation des carnets d'adresses ou de bases
> de plusieurs personnes piratées ?
> 
> Parce que si c'est le premier cas, on pourrait toujours pouvoir balancer
> à la liste (qui est souvent une liste de non informaticiens) un message
> du style "La personne qui a l'adresse "x@x" dans son carnet
> d'adresse / sa base de message devrait changer son mot de passe /
> dévirusser son ordi car il y a de fortes chances qu'elle se soit fait
> pirater".
> 
> Ca m'est arrivé de balancer ce type de message, mais je n'ai jamais eu
> de retour. D'où mon désir d'avoir plus d'infos sur la méthode de
> piratage qui aurat été employée afin d'essayer de mieux cerner quel
> abonné pourait avoir été piraté...
> 
> 
> A+ Jacques.
> -- 
> Le dernier Homme connecté sur le Net regardait d'anciens sites Web.
> "Vous avez du courrier" apparut sur l'écran...
> --- adapté d'une courte histoire de Fredric Brown
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] new stuff

[Paul Rolland (ポール・ロラン)]

Bonjour,

On Fri, 10 Jun 2016 10:47:13 +0200
Edouard Chamillard  wrote:

> On 06/10/2016 09:22 AM, David Ponzone wrote:
> > Received : from lvps87-230-94-117.dedicated.hosteurope.de (unknown
> > [IPv6:2a01:488:66:1000:57e6:5e75:0:1]) by cabale.usenet-fr.net
^^
On dirait qu'on vient enfin de trouver la killer app pour IPv6

Paul, vendredi c'est permis :/

> > (Postfix) with ESMTP id 40CB598A504A for ; Fri,
> > 10 Jun 2016 03:16:41 +0200 (CEST)



pgplVn9X0tX7z.pgp
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] new stuff

[Jacques Belin]

Le vendredi 10 juin 2016 19:23:41,
David Ponzone  a écrit:

> Dans les archives, tu as des trucs du genre:
> 
> De: "Alexis Lameire"  
> À: "Olivier Mis"  

J'ai pas cherché/trouvé le message dont tu fais référence, mais en fait
il manquait un truc dans le spam qui nous est arrivé tout à l'heure :
Souvent, il y a une liste de destinataire apparente, où on voit aussi
bien des abonnés de la liste que des adresses totalement inconnues de
nous.

La question est : est-ce que ces adresses inconnues font partie du
carnet d'adresse ou de la base de message de la personne qui s'est faite
piratée, ou est-ce la concaténation des carnets d'adresses ou de bases
de plusieurs personnes piratées ?

Parce que si c'est le premier cas, on pourrait toujours pouvoir balancer
à la liste (qui est souvent une liste de non informaticiens) un message
du style "La personne qui a l'adresse "x@x" dans son carnet
d'adresse / sa base de message devrait changer son mot de passe /
dévirusser son ordi car il y a de fortes chances qu'elle se soit fait
pirater".

Ca m'est arrivé de balancer ce type de message, mais je n'ai jamais eu
de retour. D'où mon désir d'avoir plus d'infos sur la méthode de
piratage qui aurat été employée afin d'essayer de mieux cerner quel
abonné pourait avoir été piraté...


A+ Jacques.
-- 
Le dernier Homme connecté sur le Net regardait d'anciens sites Web.
"Vous avez du courrier" apparut sur l'écran...
--- adapté d'une courte histoire de Fredric Brown


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] new stuff

[David Ponzone]

Dans les archives, tu as des trucs du genre:

De: "Alexis Lameire"  
À: "Olivier Mis"  

A partir de là, c’est pas trop dur de faire un petit algo qui tente plusieurs 
possibilités classiques pour trouver le bon email.
Peut-être qu’il faudrait masquer le domaine aussi.

Philippe doit pouvoir voir s’il y a des tentatives d’envoi vers la liste venant 
d’expéditeurs qui se ressemblent, ce qui prouverait le « brute-force » pour 
trouver le bon.


> Le 10 juin 2016 à 19:17, Jacques Belin  a écrit :
> 
> 
> Le vendredi 10 juin 2016 09:22:37,
> David Ponzone  a écrit:
> 
>> Je dirais plutôt un simple spoofing de son adresse mail, car un
>> serveur dédié en Allemagne comme intermédiaire et une IP aux USA
>> comme source du mail, ça semble improbable.
> 
> Ceci dit, pour qu'un spammeur puisse envoyer un message sur une liste en
> utilisant une adresse qui y est abonnée, c'est qu'il y a quelque part un
> autre abonné qui s'est fait pirater sa boite.
> 
> Ca fait maintenant pas mal de temps qu'on reçoit tous ce genre de
> spams et, au moins pour ma culture personnelle si ce n'est pour trouver
> un moyen de prévenir la personne qui s'est faite pirater, je serais
> intéressé de savoir au moins la méthode moins qu'ils utilisent pour
> récupérer les adresses (récupération d'annuaire de webmail, analyse de
> la base de messages dans la base outlook via un troyen, etc...).
> 
> S'il y en a qui ont des indices...
> 
> A+ Jacques.
> -- 
> Le dernier Homme connecté sur le Net regardait d'anciens sites Web.
> "Vous avez du courrier" apparut sur l'écran...
> --- adapté d'une courte histoire de Fredric Brown
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] new stuff

[Jacques Belin]

Le vendredi 10 juin 2016 09:22:37,
David Ponzone  a écrit:

> Je dirais plutôt un simple spoofing de son adresse mail, car un
> serveur dédié en Allemagne comme intermédiaire et une IP aux USA
> comme source du mail, ça semble improbable.

Ceci dit, pour qu'un spammeur puisse envoyer un message sur une liste en
utilisant une adresse qui y est abonnée, c'est qu'il y a quelque part un
autre abonné qui s'est fait pirater sa boite.

Ca fait maintenant pas mal de temps qu'on reçoit tous ce genre de
spams et, au moins pour ma culture personnelle si ce n'est pour trouver
un moyen de prévenir la personne qui s'est faite pirater, je serais
intéressé de savoir au moins la méthode moins qu'ils utilisent pour
récupérer les adresses (récupération d'annuaire de webmail, analyse de
la base de messages dans la base outlook via un troyen, etc...).

S'il y en a qui ont des indices...

A+ Jacques.
-- 
Le dernier Homme connecté sur le Net regardait d'anciens sites Web.
"Vous avez du courrier" apparut sur l'écran...
--- adapté d'une courte histoire de Fredric Brown


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] new stuff

[Frédéric VANNIÈRE]

Le 10/06/2016 10:59, Duchet Rémy a écrit :

En l’occurrence le SPF de pulseheberg.com est bien présent :
v=spf1 mx a ptr include:spf.sendinblue.com ip4:89.234.180.0/24 
ip4:149.91.80.0/24 ip4:92.103.69.44/32 ip4:217.74.103.251/32 
ip4:5.135.187.30/32 -all

Faut-il encore que le serveur distant le check..


Depuis quelques jours, Gmail devient strict et exige du DKIM. C'est peut être 
lié à cette vague de SPAMs récente.



---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] new stuff

[Duchet Rémy]

En l’occurrence le SPF de pulseheberg.com est bien présent :
v=spf1 mx a ptr include:spf.sendinblue.com ip4:89.234.180.0/24 
ip4:149.91.80.0/24 ip4:92.103.69.44/32 ip4:217.74.103.251/32 
ip4:5.135.187.30/32 -all

Faut-il encore que le serveur distant le check..


De : Edouard Chamillard<mailto:edouard.chamill...@ablogix.fr>
Envoyé le :vendredi, 10 juin 2016 10:49
À : frnog@frnog.org<mailto:frnog@frnog.org>
Objet :Re: [FRnOG] [MISC] new stuff

merci SPF winkwinknudgenudge

On 06/10/2016 09:22 AM, David Ponzone wrote:
> Received : from lvps87-230-94-117.dedicated.hosteurope.de (unknown 
> [IPv6:2a01:488:66:1000:57e6:5e75:0:1]) by cabale.usenet-fr.net (Postfix) with 
> ESMTP id 40CB598A504A for <frnog-m...@frnog.org>; Fri, 10 Jun 2016 03:16:41 
> +0200 (CEST)
> Received : from fhrjn.net (unknown [24.96.59.159]) by 
> lvps87-230-94-117.dedicated.hosteurope.de (Postfix) with ESMTPSA id 
> 8454D851C9 for <frnog-m...@frnog.org>; Fri, 10 Jun 2016 00:50:54 +0200 (CEST)
>
> Je dirais plutôt un simple spoofing de son adresse mail, car un serveur dédié 
> en Allemagne comme intermédiaire et une IP aux USA comme source du mail, ça 
> semble improbable.
>
>
>> Le 10 juin 2016 à 09:13, Philippe Bourcier <phili...@frnog.org> a écrit :
>>
>>
>> Bonjour,
>>
>> ... quand un collègue se fait pirater sa boîte mail pro ou infecter par un 
>> trojan.
>>
>> #facepalm #bad_marketing
>>
>>
>>> Hello,
>>>
>>> Just look at that new stuff, I was surprised so much, you have to
>>> take a look here
>>>
>>> Best Wishes, oliv***@pulseheberg.com
>> J'ai toujours mis en place du filtrage sortant sur mes serveurs SMTP (virus, 
>> spam, etc.) et je crois que c'est une bonne pratique.
>>
>>
>> Cordialement,
>> --
>> Philippe Bourcier
>> web : http://sysctl.org/
>> blog : https://www.linkedin.com/today/author/philippebourcier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] new stuff

[Edouard Chamillard]

merci SPF winkwinknudgenudge

On 06/10/2016 09:22 AM, David Ponzone wrote:
> Received : from lvps87-230-94-117.dedicated.hosteurope.de (unknown 
> [IPv6:2a01:488:66:1000:57e6:5e75:0:1]) by cabale.usenet-fr.net (Postfix) with 
> ESMTP id 40CB598A504A for ; Fri, 10 Jun 2016 03:16:41 
> +0200 (CEST)
> Received : from fhrjn.net (unknown [24.96.59.159]) by 
> lvps87-230-94-117.dedicated.hosteurope.de (Postfix) with ESMTPSA id 
> 8454D851C9 for ; Fri, 10 Jun 2016 00:50:54 +0200 (CEST)
>
> Je dirais plutôt un simple spoofing de son adresse mail, car un serveur dédié 
> en Allemagne comme intermédiaire et une IP aux USA comme source du mail, ça 
> semble improbable.
>
>
>> Le 10 juin 2016 à 09:13, Philippe Bourcier  a écrit :
>>
>>
>> Bonjour,
>>
>> ... quand un collègue se fait pirater sa boîte mail pro ou infecter par un 
>> trojan.
>>
>> #facepalm #bad_marketing
>>
>>
>>> Hello,
>>>
>>> Just look at that new stuff, I was surprised so much, you have to
>>> take a look here
>>>
>>> Best Wishes, oliv***@pulseheberg.com
>> J'ai toujours mis en place du filtrage sortant sur mes serveurs SMTP (virus, 
>> spam, etc.) et je crois que c'est une bonne pratique.
>>
>>
>> Cordialement,
>> -- 
>> Philippe Bourcier
>> web : http://sysctl.org/
>> blog : https://www.linkedin.com/today/author/philippebourcier
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/




signature.asc
Description: OpenPGP digital signature

Re: [FRnOG] [MISC] new stuff

[David Ponzone]

Received : from lvps87-230-94-117.dedicated.hosteurope.de (unknown 
[IPv6:2a01:488:66:1000:57e6:5e75:0:1]) by cabale.usenet-fr.net (Postfix) with 
ESMTP id 40CB598A504A for ; Fri, 10 Jun 2016 03:16:41 
+0200 (CEST)
Received : from fhrjn.net (unknown [24.96.59.159]) by 
lvps87-230-94-117.dedicated.hosteurope.de (Postfix) with ESMTPSA id 8454D851C9 
for ; Fri, 10 Jun 2016 00:50:54 +0200 (CEST)

Je dirais plutôt un simple spoofing de son adresse mail, car un serveur dédié 
en Allemagne comme intermédiaire et une IP aux USA comme source du mail, ça 
semble improbable.


> Le 10 juin 2016 à 09:13, Philippe Bourcier  a écrit :
> 
> 
> Bonjour,
> 
> ... quand un collègue se fait pirater sa boîte mail pro ou infecter par un 
> trojan.
> 
> #facepalm #bad_marketing
> 
> 
>> Hello,
>> 
>> Just look at that new stuff, I was surprised so much, you have to
>> take a look here
>> 
>> Best Wishes, oliv***@pulseheberg.com
> 
> J'ai toujours mis en place du filtrage sortant sur mes serveurs SMTP (virus, 
> spam, etc.) et je crois que c'est une bonne pratique.
> 
> 
> Cordialement,
> -- 
> Philippe Bourcier
> web : http://sysctl.org/
> blog : https://www.linkedin.com/today/author/philippebourcier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] new stuff

[Philippe Bourcier]

Bonjour,

... quand un collègue se fait pirater sa boîte mail pro ou infecter par 
un trojan.


#facepalm #bad_marketing



Hello,

Just look at that new stuff, I was surprised so much, you have to
take a look here

Best Wishes, oliv***@pulseheberg.com


J'ai toujours mis en place du filtrage sortant sur mes serveurs SMTP 
(virus, spam, etc.) et je crois que c'est une bonne pratique.



Cordialement,
--
Philippe Bourcier
web : http://sysctl.org/
blog : https://www.linkedin.com/today/author/philippebourcier


---
Liste de diffusion du FRnOG
http://www.frnog.org/