El mar, 15-01-2013 a las 16:39 -0800, consultores escribió: > On 01/15/2013 03:22 AM, Gonzalo Rivero wrote: > > El lun, 14-01-2013 a las 20:49 -0800, consultores escribió: > >> Hola > >> > >> Que opinan de este Pishing? > >> > >> ----------------------------------------------------------------------------------------------------------------- > >> > >> Return-Path: <[email protected]> > >> Received: from hm1831-14.locaweb.com.br (hm1831-14.locaweb.com.br > >> [189.126.112.34]) > >> by vcn.bc.ca (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP id > >> r0ELEpRp018569; > >> Mon, 14 Jan 2013 13:14:55 -0800 > >> Received: from mcbain0004.email.locaweb.com.br (189.126.112.85) by > >> hm1831-34.locaweb.com.br (PowerMTA(TM) v3.5r15) id huhqku12li82; Mon, 14 > >> Jan 2013 19:14:50 -0200 (envelope-from <[email protected]>) > >> Received: from moe0057.email.locaweb.com.br > >> (moe0057.email.locaweb.com.br [10.50.0.55]) > >> by mcbain0004.email.locaweb.com.br (Postfix) with ESMTP id > >> 191AF325454; > >> Mon, 14 Jan 2013 19:14:50 -0200 (BRST) > >> Received: from webmail.prixeventos.com.br (localhost [127.0.0.1]) > >> (Authenticated sender: [email protected]) > >> by moe0057.email.locaweb.com.br (Postfix) with ESMTPA id > >> A0A3C43A04E; > >> Mon, 14 Jan 2013 19:14:49 -0200 (BRST) > >> Received: from odJUNsuX7AHRWZKoYNzEi3R7PSDshdB9 > >> via nkzDdA/xW6ntaqR6WsGtBRh1yODMY7pt > >> by webmail.prixeventos.com.br > >> with HTTP (HTTP/1.1 POST); Mon, 14 Jan 2013 19:14:49 -0200 > >> MIME-Version: 1.0 > >> Content-Type: multipart/alternative; > >> boundary="=_520230cbeefca374c4ac6d0c1840c610" > >> Date: Mon, 14 Jan 2013 19:14:49 -0200 > >> From: Vcn Help Desk <[email protected]> > >> To: undisclosed-recipients:; > >> Subject: Dear account User > >> Message-ID: <[email protected]> > >> X-Sender: [email protected] > >> User-Agent: Webmail > >> X-Virus-Scanned: clamav-milter 0.97.3 at mcbain0004 > >> X-Virus-Status: Clean > >> X-CMAE-Verdict: spam > >> X-CMAE-Score: 100 > >> X-CMAE-Analysis: v=2.0 cv=d4RCP2fE c=0 sm=1 p=o2LTiRUqVOEAK2GTSpkA:9 > >> a=ySJjIj7-7BwA:10 a=dRbcgU5TVaMA:10 a=XWcs22FYAAAA:8 > >> a=194GbPS5w-gA:10 > >> a=r6hMHeq4AAAA:20 a=YTQz6G9IePgFrmd-xHwA:9 a=QEXdDO2ut3YA:10 > >> a=dE6T8MQBWsoDkfk8:21 a=DUuZ-bK8RqKK7BhN:21 > >> a=YWhIQGpoExg4hS7giMtD0g==:117 > >> X-DSPAM-Result: Innocent > >> X-DSPAM-Processed: Mon Jan 14 13:15:00 2013 > >> X-DSPAM-Confidence: 0.6820 > >> X-DSPAM-Probability: 0.0000 > >> X-DSPAM-Signature: 2726,50f4755325481679260327 > >> > >> ---------------------------------------------------------------------------------------------------------------------- > >> > >> El cuerpo es: > >> > >> -- > >> > >> Dear Account User > >> > >> A phish attempt, banned phrase or sensitive > >> information was detected in a message sent to you > >> and the original > >> message has been quarantined. This message is a copy of the original > >> with the > >> content replaced with this text. The subject line and sender > >> information has been unaltered from > >> the original. Please you are to > >> re-validate your xxxxxborrado por seguridadxxxx email address immediately. > >> Click on the link > >> below or copy and paste to validate your mail box. Fill and click on > >> submit. > >> > >> https://docs.google.com/spreadsheet/viewform?formkey=dFJqN2dLWVJJTXlDS2xncEdCdFVMYnc6MQ > >> > >> Thanks. > >> Help > >> Desk > >> > >> > >> !DSPAM:2726,50f4755325481679260327! > >> > >> ----------------------------------------------------------------------------- > >> > >> Parecería que fue enviado desde un Ubuntu, no se si vulnerado!. Tambien se > >> podria deducir, que > >> se capturo un mensaje anterior, del usuario a quien le fue enviado, el > >> formato es igual al que > >> envia el Help real. > >> > >> Ojo: > >> El enlace tiene sus animalitos. > >> > >> hasta luego. > > en mi experiencia opino que mientras existan los usuarios, no importa > > cuanto uno endurezca sus sistemas, estas cosas siempre van a seguir > > pasando. Y es tan fácil como mandarles un mail de este tipo (incluso > > pasados a "'"castellano"'" con traductor automático) pidiéndole las > > contraseñas. > > Yo estoy pensando seriamente empezar una exitosa carrera como inspector > > de billeteras: http://www.youtube.com/watch?v=-WNq33Gksvs :P > Hola Gonzalo > > Eso esta divertido; lo que me llama la atencion, es que podria ser un > servidor Debian quizas; no se que tan parecidos sean Debian-Ubuntu; Yo > tengo servidores Debian+Exim4 y otros OSs con Sendmail y me preocupa el > hecho de los sniffers en las entradas de los routers, o en APs > inalambricos. En este caso, parece que es Postfix el involucrado y > todavia no distingo los hechos claramente. > > Otro punto de interes, es que antes los scaneos los hacian en rangos > amplios, y segun veo, este fue un trabajo directo. En este servidor son > varios miles de usuarios, y seguro que van a recibir el mismo mensaje > todos los usuarios. y como tu mencionas, esta en manos de los usuarios y > no de los ITs. > > hasta luego. y gracias. > > >
lo que podés probar es si estás como openrelay, por ejemplo con http://www.mailradar.com/openrelay/ Si alguno de los test logra pasar, se arregla configurando bien. Después toca buscar vulnerabilidades en los programas que estés usando (incluido webmail, si tenés alguno funcionando). Y la única forma que yo conozco de evitar al inspector de billeteras es mandar avisos periódicos a todos los usuarios avisando que nunca voy a pedir contraseñas por correo, que los llamo o voy personalmente (no tengo tantos miles de usuarios). Aún así no falta el que pica :( -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
