sábado, 11 de maio de 2019

C-Date - Novas modalidades de ataque Scammers


Se você encontrou esta página na web enquanto procurava um texto de e-mail específico, então você está certamente lidando com um scammer. É melhor você parar toda a comunicação de imediato uma vez que esta pessoa é perigosa e provavelmente irá tentar levá-lo à falência dentro de curto espaço de tempo, se não for ainda pior. Meu pedido para você, se receber um e-mail similar: verifique e nôs informe através do email:  golpesvirtuais@gmail.com  e em seguida, exclua. Se você puder, por favor bloqueie o remetente do e-mail scammer. Você vai viver muito mais seguro com isso.


Read more: http://meg-golpistasvirtuais.blogspot.com/#ixzz2NddLc393

---------------------------------------------------------------

Alerta para quem quer que leia os textos abaixo. 

Trata-se de Scammer ou vigaristas. Geralmente são pessoas perigosas, sugiro que você pare de se comunicar com eles, a menos que saiba o que está fazendo.

--------------------------------------------------------------- 

     Sempre recebo muitos e-mails sobre namoros virtuais e relacionamentos, a maioria não dou o trabalho de abrir. 
     Mas nas ultimas semanas, alguns chamaram atenção e é sobre isso que vou escrever hoje.
     Eu sou autodidata em computação forense, programador e estudo muito sobre este e outros assuntos. 
     Não me considero e não posso ser considerado um hacker pois, ainda falta muitos degraus para chegar ao nível dos hackers.
     Nem tudo o que encontro será divulgado aqui para não atrapalhar possíveis investigações.

     Pois bem, vou tomar um e-mail aleatoriamente:

Detalhes:


X-Apparently-To: TcheBagual@email.com; Sun, 14 Apr 2019 14:21:41 +0000
Return-Path: <sandra.djordjevic@bbox.fr>
X-YahooFilteredBulk: 194.158.98.14

Até aqui tudo certo, o spam filter do Yahoo reconheceu o endereço suspeito corretamente.


X-Originating-IP: [194.158.98.14]

Interessante este IP...Vamos olhar mais de perto:



É só o IP atribuido pelo ISP... Sem novidades.

Reply-To: "Christie" <dldppew@hotmail.com> 
Isso é bem legal, o e-mail que enviou não é o mesmo que vai receber a tua resposta...

Alguns endereços recebedores:

zlidymqo@live.com
adr@live.com
kmui@yahoo.com
r@gmail.com
rjlb@live.com

São e-mails aleatórios e servem somente para administrar os contatos com as vítimas.

Mas estão usando um cliente de e-mail tipo Outlook.

From: "Christie" <sandra.djordjevic@bbox.fr>
This is a multi-part message in MIME format.
Este erro é bem frequente no Microsoft Exchange Server 2007 ou em um ambiente do Microsoft Exchange Server 2010 e não quer dizer nada, por enquanto...

Content-Disposition: attachment; filename="photo.jpg"
Content-Disposition: attachment; filename="My page.html"  

Aqui temos uma novidade, pelo menos para mim... Temos dois anexos...
Uma foto geralmente de uma belíssima mulher e uma pagina de internet.
O endereço é este:

http://www.socialaffair.xyz/


Ao tentar acessar o endereço, aparece a mensagem:

Wrong domain! This domain is not associated with this campaign . If you want to handle this traffic,you need to configure the domain in the Campaign settings.

Ou

Site is under construction, please visit later

Olhando mais fundo...


Starting Nmap ( https://nmap.org ) at 2019-04-17 20:56 -03
Scanning www.socialaffair.xyz (34.235.192.46) [4 ports]
Completed Ping Scan at 20:57, 0.43s elapsed (1 total hosts)
Discovered open port 443/tcp on 34.235.192.46
Discovered open port 22/tcp on 34.235.192.46
Discovered open port 80/tcp on 34.235.192.46
Scanning 3 services on www.socialaffair.xyz (34.235.192.46)
Completed Service scan at 20:57, 13.43s elapsed (3 services on 1 host)

PORT    STATE SERVICE  VERSION
22/tcp  open  ssh      OpenSSH 7.4 (protocol 2.0)
80/tcp  open  http     nginx
443/CPT open  ssl/http nginx

Running (JUST GUESSING): Linux 4.X|2.6.X (89%)
OS CPE: cpe:/o:linux:linux_kernel:4.2 cpe:/o:linux:linux_kernel:2.6

Obs.: CPE significa Customer Premises Equipment ou Customer Provided Equipment ou "equipamento dentro das instalações do cliente".
E está rodando um servidor NGINX.


E o que ela disse pra mim?
Olha só:

Good day.
Will such an impressive man have a little time to explain to a pretty stranger how to find a woman's happiness?
My name is Christie, I am 24 years old.
I saw you on a dating site, I liked you very. You look like a guy I recently saw in a dream.
True, he was not alone, but with a white horse. Isn't it you?
I was thinking how to write first to you on the site, but when I found your email address, I decided to write you this letter and send my photo.
You and I are almost neighbors, I live not far from you.
I really want to meet you. I want you to be near, feel your touch on my body, inhale the fragrance of your skin.
Now I live alone in my sister's house, she will not be here a few weeks. I'm so lonely here. Want to come to me?
I imagine how your hands gently caress my chest and thighs, squeeze the buttocks and languidly press my already lifeless body of passion and desire to your mighty torso.
I have one desire - to be yours, ready to obey you in love games.
I so want to feel you inside of you, your flesh burning with passion, your growing movement.
Imagine how your member in me becomes even bigger and plunges deep into me, more and more ...
Do you like my sexual fantasies? Tell me about your fantasies.
I want to chat with you on a webcam, it can be done here!
Do you want to see me naked?
I will wait for you!!!


E como ela é?


É realmente muito linda, mas é claro que não se trata do Scammer.


Continua...




Enviei um e-mail para o administrador do domínio com uma denuncia sobre Scammers e eles, prontamente bloquearam o site...


     Mudaram de domínio, e eu denunciei novamente...
     E e os administradores do novo domínio também bloquearam o conteúdo.

Mas não adiantou muito...

Agora estão direcionando para um site real:

https://www.c-date.com.br


Conclusões:

O site de relacionamento C-date é real e possui muitos clientes pagantes. Isso atraiu a atenção dos Scammers.
O plano era redirecionar os logins dos clientes para uma pagina espelho montada em outro servidor.
Não fui o primeiro a perceber a atividade, muitos outros técnicos também viram e fizeram suas denuncias aos ISS e ao próprio C-Date.
Os direcionadores não estão mais funcionando mas isso não significa que eles desistiram...








Nenhum comentário:

Postar um comentário

COMENTÁRIOS MODERADOS. Após a postagem, aguarde a aprovação. Não será garantia de ser aceito.