[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Pishing Warning, posible Ubuntu vulnerado. (OT)

El mar, 15-01-2013 a las 16:39 -0800, consultores escribió: 
> On 01/15/2013 03:22 AM, Gonzalo Rivero wrote:
> > El lun, 14-01-2013 a las 20:49 -0800, consultores escribió:
> >> Hola
> >>
> >> Que opinan de este Pishing?
> >>
> >> -----------------------------------------------------------------------------------------------------------------
> >>
> >> Return-Path: <concriad@prixeventos.com.br>
> >> Received: from hm1831-14.locaweb.com.br (hm1831-14.locaweb.com.br
> >> [189.126.112.34])
> >>        by vcn.bc.ca (8.14.3/8.14.3/Debian-9.1ubuntu1) with ESMTP id
> >> r0ELEpRp018569;
> >>        Mon, 14 Jan 2013 13:14:55 -0800
> >> Received: from mcbain0004.email.locaweb.com.br (189.126.112.85) by
> >> hm1831-34.locaweb.com.br (PowerMTA(TM) v3.5r15) id huhqku12li82; Mon, 14
> >> Jan 2013 19:14:50 -0200 (envelope-from <concriad@prixeventos.com.br>)
> >> Received: from moe0057.email.locaweb.com.br
> >> (moe0057.email.locaweb.com.br [10.50.0.55])
> >>        by mcbain0004.email.locaweb.com.br (Postfix) with ESMTP id
> >> 191AF325454;
> >>        Mon, 14 Jan 2013 19:14:50 -0200 (BRST)
> >> Received: from webmail.prixeventos.com.br (localhost [127.0.0.1])
> >>        (Authenticated sender: concriad@prixeventos.com.br)
> >>        by moe0057.email.locaweb.com.br (Postfix) with ESMTPA id A0A3C43A04E;
> >>        Mon, 14 Jan 2013 19:14:49 -0200 (BRST)
> >> Received: from odJUNsuX7AHRWZKoYNzEi3R7PSDshdB9
> >>        via nkzDdA/xW6ntaqR6WsGtBRh1yODMY7pt
> >>        by webmail.prixeventos.com.br
> >>        with HTTP (HTTP/1.1 POST); Mon, 14 Jan 2013 19:14:49 -0200
> >> MIME-Version: 1.0
> >> Content-Type: multipart/alternative;
> >>        boundary="=_520230cbeefca374c4ac6d0c1840c610"
> >> Date: Mon, 14 Jan 2013 19:14:49 -0200
> >> From: Vcn Help Desk <concriad@prixeventos.com.br>
> >> To: undisclosed-recipients:;
> >> Subject: Dear account User
> >> Message-ID: <ce1ad610c72208470b3c663ca6887b70@prixeventos.com.br>
> >> X-Sender: concriad@prixeventos.com.br
> >> User-Agent: Webmail
> >> X-Virus-Scanned: clamav-milter 0.97.3 at mcbain0004
> >> X-Virus-Status: Clean
> >> X-CMAE-Verdict: spam
> >> X-CMAE-Score: 100
> >> X-CMAE-Analysis: v=2.0 cv=d4RCP2fE c=0 sm=1 p=o2LTiRUqVOEAK2GTSpkA:9
> >>        a=ySJjIj7-7BwA:10 a=dRbcgU5TVaMA:10 a=XWcs22FYAAAA:8 a=194GbPS5w-gA:10
> >>        a=r6hMHeq4AAAA:20 a=YTQz6G9IePgFrmd-xHwA:9 a=QEXdDO2ut3YA:10
> >>        a=dE6T8MQBWsoDkfk8:21 a=DUuZ-bK8RqKK7BhN:21
> >> a=YWhIQGpoExg4hS7giMtD0g==:117
> >> X-DSPAM-Result: Innocent
> >> X-DSPAM-Processed: Mon Jan 14 13:15:00 2013
> >> X-DSPAM-Confidence: 0.6820
> >> X-DSPAM-Probability: 0.0000
> >> X-DSPAM-Signature: 2726,50f4755325481679260327
> >>
> >> ----------------------------------------------------------------------------------------------------------------------
> >>
> >> El cuerpo es:
> >>
> >> -- 
> >>
> >> Dear Account User
> >>
> >> A phish attempt, banned phrase or sensitive
> >> information was detected in a message sent to you
> >> and the original
> >> message has been quarantined. This message is a copy of the original
> >> with the
> >> content replaced with this text. The subject line and sender
> >> information has been unaltered from
> >> the original. Please you are to
> >> re-validate your xxxxxborrado por seguridadxxxx email address immediately.
> >> Click on the link
> >> below or copy and paste to validate your mail box. Fill and click on
> >> submit.
> >>
> >> https://docs.google.com/spreadsheet/viewform?formkey=dFJqN2dLWVJJTXlDS2xncEdCdFVMYnc6MQ
> >>
> >> Thanks.
> >> Help
> >> Desk
> >>     
> >>
> >> !DSPAM:2726,50f4755325481679260327!
> >>
> >> -----------------------------------------------------------------------------
> >>
> >> Parecería que fue enviado desde un Ubuntu, no se si vulnerado!. Tambien se podria deducir, que
> >> se capturo un mensaje anterior, del usuario a quien le fue enviado, el formato es igual al que
> >>    envia el Help real.
> >>
> >> Ojo:
> >> El enlace tiene sus animalitos.
> >>
> >> hasta luego.
> > en mi experiencia opino que mientras existan los usuarios, no importa
> > cuanto uno endurezca sus sistemas, estas cosas siempre van a seguir
> > pasando. Y es tan fácil como mandarles un mail de este tipo (incluso
> > pasados a "'"castellano"'" con traductor automático) pidiéndole las
> > contraseñas.
> > Yo estoy pensando seriamente empezar una exitosa carrera como inspector
> > de billeteras: http://www.youtube.com/watch?v=-WNq33Gksvs :P
> Hola Gonzalo
> 
> Eso esta divertido; lo que me llama la atencion, es que podria ser un 
> servidor Debian quizas; no se que tan parecidos sean Debian-Ubuntu; Yo 
> tengo servidores Debian+Exim4 y otros OSs con Sendmail y me preocupa el 
> hecho de los sniffers en las entradas de los routers, o en APs 
> inalambricos. En este caso, parece que es Postfix el involucrado y 
> todavia no distingo los hechos claramente.
> 
> Otro punto de interes, es que antes los scaneos los hacian en rangos 
> amplios, y segun veo, este fue un trabajo directo. En este servidor son 
> varios miles de usuarios, y seguro que van a recibir el mismo mensaje 
> todos los usuarios. y como tu mencionas, esta en manos de los usuarios y 
> no de los ITs.
> 
> hasta luego. y gracias.
> 
> 
> 

lo que podés probar es si estás como openrelay, por ejemplo con
http://www.mailradar.com/openrelay/
Si alguno de los test logra pasar, se arregla configurando bien.
Después toca buscar vulnerabilidades en los programas que estés usando
(incluido webmail, si tenés alguno funcionando).
Y la única forma que yo conozco de evitar al inspector de billeteras es
mandar avisos periódicos a todos los usuarios avisando que nunca voy a
pedir contraseñas por correo, que los llamo o voy personalmente (no
tengo tantos miles de usuarios). Aún así no falta el que pica :(
Reply to: