segunda-feira, 13 de maio de 2019

Análise de e-mail do Scammer Elizavetunya.

Se você encontrou esta página na web enquanto procurava um texto de e-mail específico, então você está certamente lidando com um scammer. É melhor você parar toda a comunicação de imediato uma vez que esta pessoa é perigosa e provavelmente irá tentar levá-lo à falência dentro de curto espaço de tempo, se não for ainda pior. Meu pedido para você, se receber um e-mail similar: verifique e nôs informe através do email:  golpesvirtuais@gmail.com  e em seguida, exclua. Se você puder, por favor bloqueie o remetente do e-mail scammer. Você vai viver muito mais seguro com isso.


Read more: http://meg-golpistasvirtuais.blogspot.com/#ixzz2NddLc393
Olá Pequeno gafanhoto...

  Depois de tanto tempo sem postar nada e sentindo muita saudades de vocês, resolvi voltar.

---------------------------------------------------------------

Alerta para quem quer que leia os textos abaixo. Trata-se de Scammer ou vigaristas. Geralmente são pessoas perigosas, sugiro que você pare de se comunicar com eles, a menos que saiba o que esta fazendo.

 

--------------------------------------------------------------- 

 

    Análise  de e-mail do Scammer Elizavetunya.



Good day! 

Are you read my letter? I'm very glad that you're interested in me. I must start my message by saying the reason why i wrote you. You're very interesting for me as a man. I think that you are looking for soulmate for new relationships and create a family. I'm right? If you're not interested in looking for a girl or you are only interested my sexy snapshots, please don't answer to this message. I understand. I wish to find my soulmate. Strong, brave and caring who will respect and love me. My name is Elizaveta, i'm thirty-four. How old are you? In the profile i saw that you live in America? I live in Russian Federation, i hope to get to know each other will not be a problem. I hope you like my foto. By the way, i'll also wait for your pictures. It's quite important and interesting to me. They important to see a partner in order to begin communication. If you're interested, then we can continue our communication more detail in the next message. Truly yours Elizavetunya!

 Linda ela né?

--------------------------------------------------------------------------------------

 Analise do e-mail:



Return-path: <lethersoul-nmt@izu.bbiq.jp>
//Caminho de resposta

X-yahoofilteredbulk: 210.252.58.122
//E-mail identificado como spam pelo filtro do Yahoo.

X-originating-ip: [210.252.58.122]
//É da Asia mas não sei expecificamente de onde.


Recebida: from 127.0.0.1  (EHLO z-fbk041b.bbiq.jp) (210.252.58.122)
  by mta4468.mail.ne1.yahoo.com with SMTP; Thu, 07 Jun 2018 19:34:11 +0000
//Recebido pelo meu programa de correio. Ultimo passo.

Recebida: from z-ogo061b.bbiq.jp (unknown [210.252.58.116])
        by z-oha-vfbk041-sv.z-seg.bbiq.jp (Postfix) with ESMTP id 582C3CB42F
        for <email@email.com>; Thu,  7 Jun 2018 10:23:32 +0900 (JST)

Recebida: from localhost (localhost [IPv6:::1])
        by z-oha-vzmta061-sv.z-seg.bbiq.jp (Postfix) with ESMTP id C4E261615F4;
        Thu,  7 Jun 2018 10:23:30 +0900 (JST)

Recebida: from z-ogo061b.bbiq.jp ([IPv6:::1])
        by localhost (z-oha-vzmta061-sv.z-seg.bbiq.jp [IPv6:::1]) (amavisd-new, port 10024)
        with ESMTP id G9Djl3120Xz3; Thu,  7 Jun 2018 10:23:30 +0900 (JST)

Recebida: from z-oha-vsmtp041-sv.z-seg.bbiq.jp (unknown [210.252.58.92])
        by z-oha-vzmta061-sv.z-seg.bbiq.jp (Postfix) with ESMTP id A3B0C1615D7;
        Thu,  7 Jun 2018 10:23:30 +0900 (JST)

Recebida: from localhost (unknown [60.253.117.42])
        (Authenticated sender: lethersoul-nmt@izu.bbiq.jp)
        by z-oha-vsmtp041-sv.z-seg.bbiq.jp (Postfix) with ESMTPA id DCD40CB425;
        Thu,  7 Jun 2018 10:23:25 +0900 (JST)//Japan Standart Time - De boas...
//Está usando um proxy na Indonésia através de uma pagina gerenciada em um servidor Centos em máquina dedicada.

De: Elizavetusya Elizavetka <lethersoul-nmt@izu.bbiq.jp>
//E-mail do emitente (Pode ser falsificado).

Reply-to: Elizavetusya Elizavetka <eliza.marveena@yandex.com>
//Informa o meu programa de e-mail para onde deve ir a resposta...

Errors-to: Elizavetusya Elizavetka <lethersoul-nmt@izu.bbiq.jp>
//Caso ocorram erros, uma resposta será enviada para este e-mail. É em Nagazaki.




Analise do servidor


Olha só o que eu achei...



PORT     STATE SERVICE
80/tcp   open  http
212/tcp  open  anet
1723/tcp open  pptp
2000/tcp open  cisco-sccp
8291/tcp open  Mikro Tik - O roteador dos caras...

CentOS Web Panel

Levando em consideração estes dados, não se trata de uma pessoa e sim uma equipe completa de Scammers.
Geralmente estas equipes são formadas por caçadores que encontram a possível vitima, personagens que enredam o embuste (geralmente mais de um) e os gerentes que estabelecem os prazos e atividades dos demais.

Uma busca por eliza.marveena@yandex.com nos mecanismos de busca mostra que ela é um scammer
bem ativo porém suas atividades são recentes.

Posted by on Nenhum comentário:

sábado, 11 de maio de 2019

C-Date - Novas modalidades de ataque Scammers


Se você encontrou esta página na web enquanto procurava um texto de e-mail específico, então você está certamente lidando com um scammer. É melhor você parar toda a comunicação de imediato uma vez que esta pessoa é perigosa e provavelmente irá tentar levá-lo à falência dentro de curto espaço de tempo, se não for ainda pior. Meu pedido para você, se receber um e-mail similar: verifique e nôs informe através do email:  golpesvirtuais@gmail.com  e em seguida, exclua. Se você puder, por favor bloqueie o remetente do e-mail scammer. Você vai viver muito mais seguro com isso.
Read more: http://meg-golpistasvirtuais.blogspot.com/#ixzz2NddLc393

---------------------------------------------------------------

Alerta para quem quer que leia os textos abaixo. 

Trata-se de Scammer ou vigaristas. Geralmente são pessoas perigosas, sugiro que você pare de se comunicar com eles, a menos que saiba o que está fazendo.

--------------------------------------------------------------- 

     Sempre recebo muitos e-mails sobre namoros virtuais e relacionamentos, a maioria não dou o trabalho de abrir. 
     Mas nas ultimas semanas, alguns chamaram atenção e é sobre isso que vou escrever hoje.
     Eu sou autodidata em computação forense, programador e estudo muito sobre este e outros assuntos. 
     Não me considero e não posso ser considerado um hacker pois, ainda falta muitos degraus para chegar ao nível dos hackers.
     Nem tudo o que encontro será divulgado aqui para não atrapalhar possíveis investigações.

     Pois bem, vou tomar um e-mail aleatoriamente:

Detalhes:


X-Apparently-To: TcheBagual@email.com; Sun, 14 Apr 2019 14:21:41 +0000
Return-Path: <sandra.djordjevic@bbox.fr>
X-YahooFilteredBulk: 194.158.98.14

Até aqui tudo certo, o spam filter do Yahoo reconheceu o endereço suspeito corretamente.


X-Originating-IP: [194.158.98.14]

 Interessante este IP...Vamos olhar mais de perto:



É só o IP atribuido pelo ISP... Sem novidades.

Reply-To: "Christie" <dldppew@hotmail.com> 
Isso é bem legal, o e-mail que enviou não é o mesmo que vai receber a tua resposta...

 Alguns endereços recebedores:

 zlidymqo@live.com
adr@live.com
kmui@yahoo.com
r@gmail.com
rjlb@live.com

 São e-mails aleatórios e servem somente para administrar os contatos com as vítimas.

 Mas estão usando um cliente de e-mail tipo Outlook.

 From: "Christie" <sandra.djordjevic@bbox.fr>
This is a multi-part message in MIME format.
Este erro é bem frequente no Microsoft Exchange Server 2007 ou em um ambiente do Microsoft Exchange Server 2010 e não quer dizer nada, por enquanto...

 Content-Disposition: attachment; filename="photo.jpg"
Content-Disposition: attachment; filename="My page.html"  

 Aqui temos uma novidade, pelo menos para mim... Temos dois anexos...
Uma foto geralmente de uma belíssima mulher e uma pagina de internet.
O endereço é este:

 http://www.socialaffair.xyz/
Ao tentar acessar o endereço, aparece a mensagem:

 Wrong domain! This domain is not associated with this campaign . If you want to handle this traffic,you need to configure the domain in the Campaign settings.

 Ou

 Site is under construction, please visit later

 Olhando mais fundo...
Starting Nmap ( https://nmap.org ) at 2019-04-17 20:56 -03
Scanning www.socialaffair.xyz (34.235.192.46) [4 ports]
Completed Ping Scan at 20:57, 0.43s elapsed (1 total hosts)
Discovered open port 443/tcp on 34.235.192.46
Discovered open port 22/tcp on 34.235.192.46
Discovered open port 80/tcp on 34.235.192.46
Scanning 3 services on www.socialaffair.xyz (34.235.192.46)
Completed Service scan at 20:57, 13.43s elapsed (3 services on 1 host)

 PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 7.4 (protocol 2.0)
80/tcp  open  http     nginx
443/CPT open  ssl/http nginx

 Running (JUST GUESSING): Linux 4.X|2.6.X (89%)
OS CPE: cpe:/o:linux:linux_kernel:4.2 cpe:/o:linux:linux_kernel:2.6

 Obs.: CPE significa Customer Premises Equipment ou Customer Provided Equipment ou "equipamento dentro das instalações do cliente".
E está rodando um servidor NGINX.
E o que ela disse pra mim?
Olha só:

 Good day.
Will such an impressive man have a little time to explain to a pretty stranger how to find a woman's happiness?
My name is Christie, I am 24 years old.
I saw you on a dating site, I liked you very. You look like a guy I recently saw in a dream.
True, he was not alone, but with a white horse. Isn't it you?
I was thinking how to write first to you on the site, but when I found your email address, I decided to write you this letter and send my photo.
You and I are almost neighbors, I live not far from you.
I really want to meet you. I want you to be near, feel your touch on my body, inhale the fragrance of your skin.
Now I live alone in my sister's house, she will not be here a few weeks. I'm so lonely here. Want to come to me?
I imagine how your hands gently caress my chest and thighs, squeeze the buttocks and languidly press my already lifeless body of passion and desire to your mighty torso.
I have one desire - to be yours, ready to obey you in love games.
I so want to feel you inside of you, your flesh burning with passion, your growing movement.
Imagine how your member in me becomes even bigger and plunges deep into me, more and more ...
Do you like my sexual fantasies? Tell me about your fantasies.
I want to chat with you on a webcam, it can be done here!
Do you want to see me naked?
I will wait for you!!!
E como ela é?
É realmente muito linda, mas é claro que não se trata do Scammer.
Continua...


Enviei um e-mail para o administrador do domínio com uma denuncia sobre Scammers e eles, prontamente bloquearam o site...
     Mudaram de domínio, e eu denunciei novamente...
     E e os administradores do novo domínio também bloquearam o conteúdo.

Mas não adiantou muito...

Agora estão direcionando para um site real:

 https://www.c-date.com.br
Conclusões:

 O site de relacionamento C-date é real e possui muitos clientes pagantes. Isso atraiu a atenção dos Scammers.
O plano era redirecionar os logins dos clientes para uma pagina espelho montada em outro servidor.
Não fui o primeiro a perceber a atividade, muitos outros técnicos também viram e fizeram suas denuncias aos ISS e ao próprio C-Date.
Os direcionadores não estão mais funcionando mas isso não significa que eles desistiram...






Posted by on Nenhum comentário:
Marcadores:
Assinar: Postagens (Atom)