domingo, 21 de julho de 2019

Security Alert. Your accounts were compromised. You need to change password!

Se você encontrou esta página na web enquanto procurava um texto de e-mail específico, então você está certamente lidando com um scammer. É melhor você parar toda a comunicação de imediato uma vez que esta pessoa é perigosa e provavelmente irá tentar levá-lo à falência dentro de curto espaço de tempo, se não for ainda pior. Meu pedido para você, se receber um e-mail similar: verifique e nôs informe através do email:  golpesvirtuais@gmail.com  e em seguida, exclua. Se você puder, por favor bloqueie o remetente do e-mail scammer. Você vai viver muito mais seguro com isso.


Read more: http://meg-golpistasvirtuais.blogspot.com/#ixzz2NddLc393

---------------------------------------------------------------

Alerta para quem quer que leia os textos abaixo. 

Trata-se de Scammer ou vigaristas. Geralmente são pessoas perigosas, sugiro que você pare de se comunicar com eles, a menos que saiba o que está fazendo.

---------------------------------------------------------------

Novo golpe na praça...

  Security Alert. Your accounts were compromised. You need to change password!

Este golpe é bem elaborado no quesito de engenharia social e o e-mail foi muito bem modificado para não deixar pistas nem fios soltos.
Eles não pecam nem mesmo em perguntar sobre dados pessoais ou coisas do gênero.
Mas, como sempre, atacam características frequentes e recorrentes na maioria das pessoas.

Estive lendo um ótimo livro nestes dias... "Todo mundo mente, o que a internet e os dados dizem sobre sobre quem realmente somos". É sobre o BigData!
Segundo pesquisas realizadas pelo autor do livro, Sr Seth Stephens, e que podem ser feitas com facilidade por qualquer pessoa, certos comportamentos velados são frequentemente costumeiros para uma grande maioria dos habitantes do nosso planeta.

Então, é de se esperar que, se eu acusar uma pessoa de se "divertir" assistindo pornografia na internet, a chance de acertar no alvo é muito grande.

Com base nisso, os Scammers estão migrando suas táticas para este tipo de pesquisa.
Tenho percebido isso já a algum tempo. São detalhes de e-mails que chamam minha atenção.

Ás vezes são coisas não muito evidentes, mas que depois de um tempo acabam fazendo sentido.


Recebi de Saylor Brewer <oculto@conntrack.com.br> mas não vou nem perder tempo com isso agora, mesmo porque este e-mail é verdadeiro.
Pertence ao domínio de uma empresa, então fui dar uma olhadinha mais de perto.

Encontrei isso:





O mesmo site tem uma versão com e e outra sem camada SSL.

E quanto ao e-mail recebido?

Eis o conteúdo:

-----------------------


Hello!

I am a hacker who has access to your operating system.
I also have full access to your account.

I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site that you visited.

If you are not familiar with this, I will explain.
Trojan Virus gives me full access and control over a computer or other device.
This means that I can see everything on your screen, turn on the camera and microphone, but you do not know about it.

I also have access to all your contacts and all your correspondence.

Why your antivirus did not detect malware?
Answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent.

I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched.
With one click of the mouse, I can send this video to all your emails and contacts on social networks.
I can also post access to all your e-mail correspondence and messengers that you use.

If you want to prevent this,
transfer the amount of $500 to my bitcoin address (if you do not know how to do this, write to Google: "Buy Bitcoin").

My bitcoin address (BTC Wallet) is:  36Cg6RmBktAda8QA8FxRcpw4YbNZiPqkj7

After receiving the payment, I will delete the video and you will never hear me again.
I give you 50 hours (more than 2 days) to pay.
I have a notice reading this letter, and the timer will work when you see this letter.

Filing a complaint somewhere does not make sense because this email cannot be tracked like my bitcoin address.
I do not make any mistakes.

If I find that you have shared this message with someone else, the video will be immediately distributed.

Best regards!


-----------------------

Ui, que medo...


De fato é assustador para uma pessoa que frequenta sites pornográficos...

O primeiro pensamento da vitima é: "Se isso for divulgado, minha vida será um inferno".

E será mesmo, dependendo do que você vem assistindo.

Você já viu "Black Mirror"? (Mas o "Black Mirror" das antigas), então... estamos sempre sob vigilância, há sempre uma câmera sobre nós.

Acessar câmeras, celulares, computadores ou qualquer outro dispositivo pessoal que estejam conectado á internet, é relativamente fácil. Mas, precisa que estejam desatualizados ou infectado.

Aplicativos desatualizados são portas de entrada para hackers, assim como infecção viral em seu celular.

Mesmo assim até um hacker perder o seu precioso tempo pra te procurar na net, ver o que você tem feito de errado e te chantagear, tem muita distancia.

Não estou dizendo que não fariam, mas que eles se ocupam de coisa bem maiores do que você.

A propósito, o cara que faz este tipo de coisa é o Lammer.


Análise do e-mail:

Como sempre, apaguei o que não interessa.


Return-path: <oculto@conntrack.com.br>
X-yahoofilteredbulk: 187.45.187.122

"Só um palpite; Ilha do Governador, RJ - Brasil."

X-originating-ip: [187.45.187.122]              
envelope-from <oculto@conntrack.com.br>
De: Saylor Brewer <oculto@conntrack.com.br>
Assunto: Security Alert. Your accounts were compromised. You need to change password!
List-unsubscribe: <http://friend.conntrack.com.br/ru/unsubscribe/do?hash=3lre52kouwdouhcobje4netyzj3waogacruqyng9mjnjoatqda6ehujintbilgd3e55cc6gebtrdh9>
X-mru-trust-ip: 187.120.141.93
X-outgoing-spam-status: No, score=2.0
X-antiabuse: This header was added to track abuse, please include it with any abuse report
X-antiabuse: Primary Hostname - spo-rbr5.dizinc.com
X-antiabuse: Original Domain - yahoo.com.br
X-antiabuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-antiabuse: Sender Address Domain - conntrack.com.br
X-get-message-sender-via: spo-rbr5.dizinc.com: authenticated_id: oculto@conntrack.com.br
X-authenticated-sender: spo-rbr5.dizinc.com:
oculto@conntrack.com.br


Errei feio!!!


To@conntrack.com.br
From
SubjectPishing
Sent on16-Jul-2019 at 9:52:22 PM (GMT-03:00)
Email Tracking Details
Opened at17-Jul-2019 at 7:33:57 AM (GMT-03:00)
LocationSão Paulo, Brazil (80% likelihood)
Recipient IP177.139.131.54
Language
Web Browserunknown
Operating Systemunknown
User Agent StringMozilla/4.0 (compatible; ms-office; MSOffice 16)
Read DurationPlease see the live tracking details of this email for email read duration.
Referer
NoteIn case of Hotmail or Gmail Recipient, Location and IP address related information will not be accurate because Hotmail and Gmail do not disclose the actual IP adress of recipient instead, they provide IP adress and location of their servers.

Bom, o colega tem um celular da Vivo e carrega e-mails pelo OutLook neste mesmo celular.
Enviei um e-mail para ver mais detalhes e o moço não se deu ao trabalho de responder, mas abriu e leu.
Enviei um e-mail aos proprietários do site em 16 de Julho de 2019, mas também não se pronunciaram. Imagino
que o Scammer seja o mesmo WebMaster do site.
Enfim, se você receber alguma coisa assim, já sabe; É vagabundo tentando pôr a mão no teu bolso.
Quem sabe eu volte e complete este texto no futuro.

Continua...


sexta-feira, 12 de julho de 2019

Atualização de cadastro Netflix - O golpe...


Se você encontrou esta página na web enquanto procurava um texto de e-mail específico, então você está certamente lidando com um scammer. É melhor você parar toda a comunicação de imediato uma vez que esta pessoa é perigosa e provavelmente irá tentar levá-lo à falência dentro de curto espaço de tempo, se não for ainda pior. Meu pedido para você, se receber um e-mail similar: verifique e nôs informe através do email:  golpesvirtuais@gmail.com  e em seguida, exclua. Se você puder, por favor bloqueie o remetente do e-mail scammer. Você vai viver muito mais seguro com isso.


Read more: http://meg-golpistasvirtuais.blogspot.com/#ixzz2NddLc393

Alerta para quem quer que leia os textos abaixo. Trata-se de Scammer ou vigaristas. Geralmente são pessoas perigosas, sugiro que você pare de se comunicar com eles, a menos que saiba o que esta fazendo.

 

--------------------------------------------------------------- 



Mais um estudo sobre golpes aplicados por vigaristas digitais, desta feita, o método envolve o nome da Netflix...


Começa assim, você recebe um e-mail sobre uma atualização de cadastro pendente e, é claro, um link para efetuar seu cadastro...Os novos bandidos não dizem mais "mãos pra cima" ou "perdeu preibói", agora é "clique aqui".


Aliás, a Netflix ou qualquer outra empresa, jamais atualizariam seus cadastros via e-mail. Mas tem quem acredite nisso, então vamos clicar no link...



Mas e o endereço? É mesmo da empresa?


http://uuirhbd9738gdb3iodn3k.loseyourip.com/B67FHBF478IBF4G4FIU/JH09qHdxbZCsLQ0s/AccountPayment_ID359012/


E redireciona para:

 

http://rcx97dkjhd33987sdf.casacam.net/L0D983DH83HD/JH09qHdxbZCsLQ0s/AccountPayment_ID359012/

 

 

Opa... Não é nem perto de NetFlix! 

É por isso que precisamos ter tanta atenção quando clicamos em alguma coisa, quem vê cara não vê coração... E eles não tem coração, isso eu garanto!!!

Vamos usar algumas ferramentas disponíveis na internet, apenas para "brincar" um pouco. 

Espero que eles apreciem a piada...



Ficou assim:



Gostaram do meu nome?


E tem direito a telinha de verificação...


E o que seria do cliente se não fossem as proteções extras...


                           #-----#

 

Mas afinal de contas, o e-mail tem alguma coisa diferente? 

Tem, mas só vou mostrar o que é mais relevante...

#--------------------------------------------------------------------------------#


 (10.152.88.51)  (10.152.89.188) (sender IP is 54.233.193.3)  hotmail.com;
Received-spf: None (protection.outlook.com:


Que surpresa! Provedor brasileiro.

E o cara está usando o Outlook da Microsoft com uma conta no Hotmail...


Assunto: Atualize seu cadastro - Netflix
De: urgente@netflix.com.br
Para: Guri de Uruguaiana

X-ms-exchange-organization-authas: Anonymous
X-sender-ip: 54.233.193.3
X-sid-pra: URGENTE@NETFLIX.COM.BR

#--------------------------------------------------------------------------------#

 

E no site?


Bem elaborado e bem construído.
De fato, não achei nenhum erro grosseiro.
O autor usou PHP, Selenium, BootStrap, Ajax, Jquery, SQL e Java Script além de um Builder.
Ficou realmente muito bem feito.
Mas, sempre tem erro, isso é regra...











 Passei o mouse sobre o título, selecionei e copiei o texto...
O que apareceu?
Isso...


Atualsize suacasas informatica e opções de 

papelariagabrielmagento



Como eu disse ali mais acima, sempre tem erro...

Espero que ninguém tenha caído nessa pilantragem.
Só por curiosidade, o site roda na máquina 178.128.12.88, um Linux e está com as portas 22,
80 e 646 abertas, então, presumo que seja uma máquina dedicada e não um servidor roubado.
Arrisco dizer que se trata de um CPE rodando Linux Ubuntu.
Olhando mais a fundo, o IP 178.128.12.88 pertence aos serviços de hospedagem da Digital Ocean.
Com estas informações em mãos, vou entrar em contato com a Digital Ocean e solicitar uma vistoria
neste site.
Caso eles aceitem, então será o fim da história, pelo menos desta...


Enviei a denuncia em 26 de Junho ás 21:30
Recebi uma resposta automática ás 21:34


Aguardando as cenas dos próximos capítulos...

29/06/2019
Resposta do Digital Ocean:

Thank you for your submission. 
A member of the Trust & Safety team will 
review the details as soon as possible. 
If appropriate, the information will be forwarded 
to the associated customer in its entirety. 

As we are an unmanaged cloud hosting provider, 
we do not create, administer, or have direct 
access to our customers' Droplets. 
This means that we cannot make direct changes 
to any programs or websites hosted there. 

Additionally, our internal policies do not allow 
us to share information about the customer 
with third parties without a signed US court 
order compelling us to do so. 

Regards, 

Trust & Safety 
DigitalOcean Support

Ou seja, não podem fazer nada, exceto me denunciar 
ao dono do site. 










































segunda-feira, 13 de maio de 2019

Análise de e-mail do Scammer Elizavetunya.

Se você encontrou esta página na web enquanto procurava um texto de e-mail específico, então você está certamente lidando com um scammer. É melhor você parar toda a comunicação de imediato uma vez que esta pessoa é perigosa e provavelmente irá tentar levá-lo à falência dentro de curto espaço de tempo, se não for ainda pior. Meu pedido para você, se receber um e-mail similar: verifique e nôs informe através do email:  golpesvirtuais@gmail.com  e em seguida, exclua. Se você puder, por favor bloqueie o remetente do e-mail scammer. Você vai viver muito mais seguro com isso.


Read more: http://meg-golpistasvirtuais.blogspot.com/#ixzz2NddLc393
Olá Pequeno gafanhoto...

  Depois de tanto tempo sem postar nada e sentindo muita saudades de vocês, resolvi voltar.

---------------------------------------------------------------

Alerta para quem quer que leia os textos abaixo. Trata-se de Scammer ou vigaristas. Geralmente são pessoas perigosas, sugiro que você pare de se comunicar com eles, a menos que saiba o que esta fazendo.

 

--------------------------------------------------------------- 

 

    Análise  de e-mail do Scammer Elizavetunya.



Good day! 

Are you read my letter? I'm very glad that you're interested in me. I must start my message by saying the reason why i wrote you. You're very interesting for me as a man. I think that you are looking for soulmate for new relationships and create a family. I'm right? If you're not interested in looking for a girl or you are only interested my sexy snapshots, please don't answer to this message. I understand. I wish to find my soulmate. Strong, brave and caring who will respect and love me. My name is Elizaveta, i'm thirty-four. How old are you? In the profile i saw that you live in America? I live in Russian Federation, i hope to get to know each other will not be a problem. I hope you like my foto. By the way, i'll also wait for your pictures. It's quite important and interesting to me. They important to see a partner in order to begin communication. If you're interested, then we can continue our communication more detail in the next message. Truly yours Elizavetunya!

 Linda ela né?

--------------------------------------------------------------------------------------

 Analise do e-mail:



Return-path: <lethersoul-nmt@izu.bbiq.jp>
//Caminho de resposta

X-yahoofilteredbulk: 210.252.58.122
//E-mail identificado como spam pelo filtro do Yahoo.

X-originating-ip: [210.252.58.122]
//É da Asia mas não sei expecificamente de onde.


Recebida: from 127.0.0.1  (EHLO z-fbk041b.bbiq.jp) (210.252.58.122)
  by mta4468.mail.ne1.yahoo.com with SMTP; Thu, 07 Jun 2018 19:34:11 +0000
//Recebido pelo meu programa de correio. Ultimo passo.

Recebida: from z-ogo061b.bbiq.jp (unknown [210.252.58.116])
        by z-oha-vfbk041-sv.z-seg.bbiq.jp (Postfix) with ESMTP id 582C3CB42F
        for <email@email.com>; Thu,  7 Jun 2018 10:23:32 +0900 (JST)

Recebida: from localhost (localhost [IPv6:::1])
        by z-oha-vzmta061-sv.z-seg.bbiq.jp (Postfix) with ESMTP id C4E261615F4;
        Thu,  7 Jun 2018 10:23:30 +0900 (JST)

Recebida: from z-ogo061b.bbiq.jp ([IPv6:::1])
        by localhost (z-oha-vzmta061-sv.z-seg.bbiq.jp [IPv6:::1]) (amavisd-new, port 10024)
        with ESMTP id G9Djl3120Xz3; Thu,  7 Jun 2018 10:23:30 +0900 (JST)

Recebida: from z-oha-vsmtp041-sv.z-seg.bbiq.jp (unknown [210.252.58.92])
        by z-oha-vzmta061-sv.z-seg.bbiq.jp (Postfix) with ESMTP id A3B0C1615D7;
        Thu,  7 Jun 2018 10:23:30 +0900 (JST)

Recebida: from localhost (unknown [60.253.117.42])
        (Authenticated sender: lethersoul-nmt@izu.bbiq.jp)
        by z-oha-vsmtp041-sv.z-seg.bbiq.jp (Postfix) with ESMTPA id DCD40CB425;
        Thu,  7 Jun 2018 10:23:25 +0900 (JST)//Japan Standart Time - De boas...
//Está usando um proxy na Indonésia através de uma pagina gerenciada em um servidor Centos em máquina dedicada.

De: Elizavetusya Elizavetka <lethersoul-nmt@izu.bbiq.jp>
//E-mail do emitente (Pode ser falsificado).

Reply-to: Elizavetusya Elizavetka <eliza.marveena@yandex.com>
//Informa o meu programa de e-mail para onde deve ir a resposta...

Errors-to: Elizavetusya Elizavetka <lethersoul-nmt@izu.bbiq.jp>
//Caso ocorram erros, uma resposta será enviada para este e-mail. É em Nagazaki.




Analise do servidor


Olha só o que eu achei...



PORT     STATE SERVICE
80/tcp   open  http
212/tcp  open  anet
1723/tcp open  pptp
2000/tcp open  cisco-sccp
8291/tcp open  Mikro Tik - O roteador dos caras...

CentOS Web Panel

Levando em consideração estes dados, não se trata de uma pessoa e sim uma equipe completa de Scammers.
Geralmente estas equipes são formadas por caçadores que encontram a possível vitima, personagens que enredam o embuste (geralmente mais de um) e os gerentes que estabelecem os prazos e atividades dos demais.

Uma busca por eliza.marveena@yandex.com nos mecanismos de busca mostra que ela é um scammer
bem ativo porém suas atividades são recentes.

sábado, 11 de maio de 2019

C-Date - Novas modalidades de ataque Scammers


Se você encontrou esta página na web enquanto procurava um texto de e-mail específico, então você está certamente lidando com um scammer. É melhor você parar toda a comunicação de imediato uma vez que esta pessoa é perigosa e provavelmente irá tentar levá-lo à falência dentro de curto espaço de tempo, se não for ainda pior. Meu pedido para você, se receber um e-mail similar: verifique e nôs informe através do email:  golpesvirtuais@gmail.com  e em seguida, exclua. Se você puder, por favor bloqueie o remetente do e-mail scammer. Você vai viver muito mais seguro com isso.


Read more: http://meg-golpistasvirtuais.blogspot.com/#ixzz2NddLc393

---------------------------------------------------------------

Alerta para quem quer que leia os textos abaixo. 

Trata-se de Scammer ou vigaristas. Geralmente são pessoas perigosas, sugiro que você pare de se comunicar com eles, a menos que saiba o que está fazendo.

--------------------------------------------------------------- 

     Sempre recebo muitos e-mails sobre namoros virtuais e relacionamentos, a maioria não dou o trabalho de abrir. 
     Mas nas ultimas semanas, alguns chamaram atenção e é sobre isso que vou escrever hoje.
     Eu sou autodidata em computação forense, programador e estudo muito sobre este e outros assuntos. 
     Não me considero e não posso ser considerado um hacker pois, ainda falta muitos degraus para chegar ao nível dos hackers.
     Nem tudo o que encontro será divulgado aqui para não atrapalhar possíveis investigações.

     Pois bem, vou tomar um e-mail aleatoriamente:

Detalhes:


X-Apparently-To: TcheBagual@email.com; Sun, 14 Apr 2019 14:21:41 +0000
Return-Path: <sandra.djordjevic@bbox.fr>
X-YahooFilteredBulk: 194.158.98.14

Até aqui tudo certo, o spam filter do Yahoo reconheceu o endereço suspeito corretamente.


X-Originating-IP: [194.158.98.14]

Interessante este IP...Vamos olhar mais de perto:



É só o IP atribuido pelo ISP... Sem novidades.

Reply-To: "Christie" <dldppew@hotmail.com> 
Isso é bem legal, o e-mail que enviou não é o mesmo que vai receber a tua resposta...

Alguns endereços recebedores:

zlidymqo@live.com
adr@live.com
kmui@yahoo.com
r@gmail.com
rjlb@live.com

São e-mails aleatórios e servem somente para administrar os contatos com as vítimas.

Mas estão usando um cliente de e-mail tipo Outlook.

From: "Christie" <sandra.djordjevic@bbox.fr>
This is a multi-part message in MIME format.
Este erro é bem frequente no Microsoft Exchange Server 2007 ou em um ambiente do Microsoft Exchange Server 2010 e não quer dizer nada, por enquanto...

Content-Disposition: attachment; filename="photo.jpg"
Content-Disposition: attachment; filename="My page.html"  

Aqui temos uma novidade, pelo menos para mim... Temos dois anexos...
Uma foto geralmente de uma belíssima mulher e uma pagina de internet.
O endereço é este:

http://www.socialaffair.xyz/


Ao tentar acessar o endereço, aparece a mensagem:

Wrong domain! This domain is not associated with this campaign . If you want to handle this traffic,you need to configure the domain in the Campaign settings.

Ou

Site is under construction, please visit later

Olhando mais fundo...


Starting Nmap ( https://nmap.org ) at 2019-04-17 20:56 -03
Scanning www.socialaffair.xyz (34.235.192.46) [4 ports]
Completed Ping Scan at 20:57, 0.43s elapsed (1 total hosts)
Discovered open port 443/tcp on 34.235.192.46
Discovered open port 22/tcp on 34.235.192.46
Discovered open port 80/tcp on 34.235.192.46
Scanning 3 services on www.socialaffair.xyz (34.235.192.46)
Completed Service scan at 20:57, 13.43s elapsed (3 services on 1 host)

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 7.4 (protocol 2.0)
80/tcp  open  http     nginx
443/CPT open  ssl/http nginx

Running (JUST GUESSING): Linux 4.X|2.6.X (89%)
OS CPE: cpe:/o:linux:linux_kernel:4.2 cpe:/o:linux:linux_kernel:2.6

Obs.: CPE significa Customer Premises Equipment ou Customer Provided Equipment ou "equipamento dentro das instalações do cliente".
E está rodando um servidor NGINX.


E o que ela disse pra mim?
Olha só:

Good day.
Will such an impressive man have a little time to explain to a pretty stranger how to find a woman's happiness?
My name is Christie, I am 24 years old.
I saw you on a dating site, I liked you very. You look like a guy I recently saw in a dream.
True, he was not alone, but with a white horse. Isn't it you?
I was thinking how to write first to you on the site, but when I found your email address, I decided to write you this letter and send my photo.
You and I are almost neighbors, I live not far from you.
I really want to meet you. I want you to be near, feel your touch on my body, inhale the fragrance of your skin.
Now I live alone in my sister's house, she will not be here a few weeks. I'm so lonely here. Want to come to me?
I imagine how your hands gently caress my chest and thighs, squeeze the buttocks and languidly press my already lifeless body of passion and desire to your mighty torso.
I have one desire - to be yours, ready to obey you in love games.
I so want to feel you inside of you, your flesh burning with passion, your growing movement.
Imagine how your member in me becomes even bigger and plunges deep into me, more and more ...
Do you like my sexual fantasies? Tell me about your fantasies.
I want to chat with you on a webcam, it can be done here!
Do you want to see me naked?
I will wait for you!!!


E como ela é?


É realmente muito linda, mas é claro que não se trata do Scammer.


Continua...




Enviei um e-mail para o administrador do domínio com uma denuncia sobre Scammers e eles, prontamente bloquearam o site...


     Mudaram de domínio, e eu denunciei novamente...
     E e os administradores do novo domínio também bloquearam o conteúdo.

Mas não adiantou muito...

Agora estão direcionando para um site real:

https://www.c-date.com.br


Conclusões:

O site de relacionamento C-date é real e possui muitos clientes pagantes. Isso atraiu a atenção dos Scammers.
O plano era redirecionar os logins dos clientes para uma pagina espelho montada em outro servidor.
Não fui o primeiro a perceber a atividade, muitos outros técnicos também viram e fizeram suas denuncias aos ISS e ao próprio C-Date.
Os direcionadores não estão mais funcionando mas isso não significa que eles desistiram...