Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MSN kerstkaart in het Nederlands: Phishing-alarm!!

27-12-2010, 00:47 door Diego de la Vega, 65 reacties
Dag mede-security-nerds ;-),

Ik heb dit kerstweekend al vijf enorm goed gemaakte kerstberichtjes gekregen. Ze leken rechtstreeks van het e-mail adres van vrienden te komen. Met in de mails een link, zogezegd naar een e-card dienst van msn!

Voorbeeld:

Hey.
Heb jij een fijne eerste kerst dag gehad? Ikke wel :) En het is nu al bijna 2011... gaat echt snel zeg
Speciaal voor jou heb ik een online kerst kaart gemaakt om je het allerbeste te wensen voor 2011.

Het bekijken van me kerst creatie kan op: http://www.msnspecialekerst.com/?kaart=176630

Ik hoop dat 2011 voor je echt een leuk jaar gaat worden!
Gr. [de voornaam van een vriend]

Wat op het eerste zicht heel opmerkelijk is:
- Ik heb drie mails aangekregen, telkens met een andere tekst!
- Ze kennen de voornaam van mijn vrienden, niet enkel wat voor het @-teken staat van hun e-mail adres!
- Ze waren telkens zeer netjes geschreven in het Nederlands!!! Of nog straffer, in het Vlaams ("Ikke wel").

*** VERDER ONDERZOEK ***

Verder whois onderzoek levert dit op:
- De domeinnamen (http://www.msnfijnekerst.com/ http://www.msnmetkerst.com/ http://www.msnspecialekerst.com/ enz.) zijn allen geregistreerd op een id met "RU" er in. (Lees: geregistreerd door Russen.)
- De domeinnamen zijn tijdens het kerstweekend aangemaakt
- De IP-adressen van de nameservers zitten in een bekend crimineel Rusische subnet (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL68370)
- Het adres van de registreerder van de domeinnamen verandert telkens, het enige gemaanschappelijke van de domeinnamen zijn de nameservers.
- Als je de ip-adressen van de nameservers van het domein opzoekt in google, kom je wel wat oudere gevallen tegen van phising met die Russische ip-adressen.


Dit zijn de nameservers:
Name Server: ns1.msnspecialekerst.com 92.241.190.64
Name Server: ns2.msnspecialekerst.com 92.241.190.124
Name Server: ns3.msnspecialekerst.com 92.241.190.218

Verder broncode onderzoek levert dit op:
- Er wordt een javascript automatisch geladen bij het openen van de pagina, zie code beneden.
- Ajax, ActiveX en php (beperkt waarschijnlijk) worden gebruikt in het script.
- De eigenlijke url wordt direct veranderd in je browser naar http://www.msnjouwkerstkaart.com//. De eerste twee functies van het javascript hierboven zorgen hiervoor.
- In de laatste twee functies van het javascript wordt ActiveX gebruikt, maar op de eigenlijk site zie ik geen ActiveX, maar wel Flash. (= verdacht). Is er iemand die weet wat de functies doen?

De code:

function init() {

ajaxLoadURL('./hm-cw-inc/getContent.php?page=init&code=' + getUrlParameter('code') + '&refer=' + getUrlParameter('refer') + '&name=' + getUrlParameter('name'), "pageContent", "inject")
}

function getUrlParameter(name) {
name = name.replace(/[\[]/,"\\\[").replace(/[\]]/,"\\\]");
var regex = new RegExp( "[\\?&]"+name+"=([^&#]*)" );
var results = regex.exec( window.location.href );
return ( results == null ) ? "" : results[1];
}

function ajaxLoadURL(url, div, callback) {
var xmlhttp;
if (window.XMLHttpRequest) {
xmlhttp = new XMLHttpRequest();
} else if (window.ActiveXObject) {
xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
}
if (xmlhttp) {
xmlhttp.onreadystatechange=function() {
if (xmlhttp.readyState == 4) {
if (callback == "inject") {
callbackDivinject(div, xmlhttp.responseText);
}
}
}
xmlhttp.open("GET", url, true);
xmlhttp.send(null);
}
}

function callbackDivinject(div, content) {
o = document.getElementById(div);
if (o) {
o.innerHTML = content;
}
}

Verder onderzoek van de website levert dit op:
- Je komt op een website waar je je GSM-nummer moet ingeven voor een kerstkaart te zien. Maar ondertussen schrijf je je in voor een zeer dure abonnement-service!!
- Op een heel doordachte manier staan er nog kleine lettertjes op de website, onder de flash-applicatie! Je ziet de kleine lettertjes standaard niet, er is zelfs geen scrollbalk om er naar te scrollen! De kleine lettertjes zitten in een iframe, waarom weet ik nog niet. Iemand wel? Misschien heeft het te maken met de manier waarop ze ervoor zorgen dat er geen scrolbalk te zien is.
- In de url van de website kan je het belangrijkste stuk van je eigen e-mail adres zien en een code. In de code zit waarschijnlijk een koppeling naar jouw e-mail adres en dat van jouw vriend. De url: http://www.msnjouwkerstkaart.com//?kaart=419928&code=[nummer]&name=[naam van vriend]&refer=[helft van mijn e-mail adres = wat voor het @-teken staat].msnspecialekerst.com

Kleine letterjes in een onzichtbaar iFrame:

Deze betaalde abonnementsdienst wordt aangegaan voor onbepaalde tijd. Kosten voor deze dienst bedragen € 24.00 per week en worden geincasseerd via 6 wekelijkse berichten a € 2,00. Er geldt geen verzakingsrecht. Stoppen? Opzeggen kan zonder opzegtermijn, sms STOP naar 9911. Je dient minimaal 18 jaar te zijn of toestemming te hebben van ouder(s) of voogd.
GripLO Interactive Media Limited - Suite 102, Blake Building, Ground Floor, Corner Ayer and Hudson - Belize City te Belize. Registration id / vat: 87889.
Contact: be@griplo.com of bel +31 20 8946191. Aanmelden voor de dienst betekent acceptatie van de algemene voorwaarden. GripLO werkt volgens de GOF richtlijnen voor SMS-diensten.

GripLO | Algemene Voorwaarden | Privacy Beleid | FAQ | Contact

Verder onderzoek van de e-mail header levert dit op:
- De e-mails worden wel degelijk van de servers van Hotmail verstuurd (http://www.maxmind.com/app/locate_demo_ip?ips=65.55.34.199)
- Je kan in het veld "X-Originating-IP:" zien van welk IP-adres de e-mail wordt verstuurd. Dit zijn niet de ip-adressen van mijn vrienden. (http://www.maxmind.com/app/locate_demo_ip?ips=87.118.101.175).
- Het zou wel eens kunnen dat de IP-adressen van geïnfecteerde user-PCs die als SPAM-robot of dergelijke worden ingeschakeld. [UPDATE: Door bitwiper weten we nu dat de IP-adressen, adressen van het tor-netwerk zijn!]


De e-mail header:

X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==
X-Message-Status: n
X-SID-PRA: [e-mail adres en volledige naam van een vriend]
X-SID-Result: Pass
X-AUTH-Result: PASS
X-Message-Info: 6sSXyD95QpWsXcX6WbkOEnOq3S+LnohJeg7bfar/Jqo48HDr5i+WrEP2zxCspxoUdOl9jj5UCJJZPdtowgj/sujs21PSppr9PhCgpRR2DDi1mSky9/mNDA==
Received: from col0-omc4-s16.col0.hotmail.com ([65.55.34.218]) by col0-hmmc2-f1.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 26 Dec 2010 00:20:23 -0800
Received: from COL118-W63 ([65.55.34.199]) by col0-omc4-s16.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 26 Dec 2010 00:20:22 -0800
Message-ID: <COL118-W6305DBAB1F57F3ED42D7ABB31F0@phx.gbl>
Return-Path: [e-mail adres van een vriend]
Content-Type: multipart/alternative;
boundary="_b21a1ea5-06a1-42e7-bb57-ddf6ef9aa681_"
X-Originating-IP: [87.118.101.175]
From: [e-mail adres en volledige naam van een vriend]
To: [Mijn e-mail adres]
Subject: Een hele bijzondere tweede kerstavond gewenst namens mij
Date: Sun, 26 Dec 2010 09:20:23 +0100
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 26 Dec 2010 08:20:22.0952 (UTC) FILETIME=[BDCD2A80:01CBA4D5]

*** SLACHTOFFER? ***

Hoe ben je zelf de spammer geworden?
Ik heb reeds drie (op een dag) zeer vergelijkbare mails aangekregen van een andere phising site waar je je hotmailadres en wachtwoord moet ingeven. Grote kans dat de slachtoffers (onder meer) hun hier hebben laten vangen.
Hier is de phising-link: http://www.msnpicturenet.com//?rcpt=test@hotmail.com&refer=test.msnimagetube.com

Als je vele post delivery failure mails aankrijgt zonder dat je zelf bewust mails naar die personen hebt gestuurd weet je dat je slachtoffer bent geworden.

Hoe ervoor zorgen dat je geen slachtoffer meer bent?
Je e-mail adres stuurt de spam uit: Het is moeilijk om te testen of dit een oplossing is op lange termijn, maar je probleem is hoogstwaarschijnlijk opgelost als je gewoon je hotmail wachtwoord verandert!

Je ontvangt de smsen: Dit is niet uitgetest of dit werkt maar officieel moet je STOP smsen naar 9911. (Laat gerust weten als je dit uittest)

Als je zaken ziet die volgens jou niet kloppen in mijn analyse, laat het gerust weten (liefst met onderbouwde uitleg)! Post hier gerust jouw domeinnamen.
Reacties (65)
27-12-2010, 09:17 door Anoniem
Ik heb ook twee van deze mails gekregen. En ik moet een 06 nummer invullen op de site voordat ik mijn kaart te zien krijg. (Niet gedaan natuurlijk) en bovenin staat een heel kleine waarschuwing dat het gaat om een abo-dienst van Trivia van 36 euro per week. Kan me dus voorstellen dat ze er veel moeite voor gedaan hebben. Want die mails zijn inderdaad goed gemaakt!

Ho Ho Ho...
Het jaar is super snel voorbij gegaan!. Het jaar 2011 staat al weer voor de deur :)

Via deze website heb ik deze keer een leuke kerst kaart voor je bedacht!

Je kunt mijn mooie kerst boodschap zien op
http://www.msndekerst.com/?kaart=636270

Dat 2011 maar een succesvol jaar voor jou mag worden! PS: Kijk uit met het vuurwerk ..

Bye [...]

en

Hey..

Oepss.. Ik ben deze keer wel erg laat geweest met het versturen van de kerstkaartje maar wil toch nog even van de gelegenheid gebruik maken om je het aller beste te gaan wensen.

Ik heb zojuist de moeite genomen om ongelukkigerwijs iets te laat speciaal voor jou een kerst berichtje te bedenken!
Het openen van mijn kerst boodschap kan via: http://www.msnkerstboodschap.com/?kaart=573079
Ik hoop dat 2011 voor je een top jaar gaat zijn:)

[...] .......

PS: Ik was bezorgd of door het slechte weer de post iets vertraging op zou lopen maar nu is het ook online erg druk! Ik hoop dat je deze mooie kerst kaart wilt openen die ik voor je heb gemaakt..

Gr, Mark
27-12-2010, 10:00 door Anoniem
Ha,

Ik krijg deze ook al regelmatig in mijn buis, telkens wordt er gebruik gemaakt van dezelfde naam van een vriend, en dan alleen deze.


-----------------------------

Hoi.
Oepsss.. Ik ben dit jaar wel heel erg laat geweest met het versturen van de kaartje maar wil nog even van de gelegenheid gebruik maken om jou het beste toe te gaan wensen.

Hedendaags is de post zo standaard en heb ik een online kerst berichtje voor jou gemaakt.

Ga meteen mijn kerst boodschap openen op: http://www.msnspecialekerst.com/?kaart=296073

Alvast een heel goed 2011 toegewenst! Dat het een mooi jaar voor jou mag worden.

Groet

PS:;Ik was bezorgd of door het slechte weer de post vertraging op zou lopen maar nu is het ook online erg druk. Ik hoop dat je deze speciale kaart wilt aanschouwen die ik voor jou heb gemaakt..

-----------------------------------------

Opvallend is dat is eigenlijk nooit van deze rommel binnen krijg, aangezien de security van hotmail best goed is.

Wel raar dat juist rommel als dit door komt op mijn hotmail. Zou verwachten dat ze dit snel de kop in zouden drukken.

groeten,
peter
27-12-2010, 10:01 door Anoniem
ik heb er ook zo ene gekregen, maar dan iets anders:


Ola,

Oepssie... Ik ben dit jaar wel erg laat geweest met het maken van de kerstkaartje maar wil nog even van de gelegenheid gebruik maken om jou het beste toe te gaan wensen..

Speciaal voor jou heb ik een online kerst bericht gemaakt om je het beste toe te wensen voor 2011!

Je kan deze speciale kerst boodschap openen via
http://www.msnfijnekerst.com/?kaart=463283

Doe voorzichtig met vuurwerk en het beste voor 2011!

(afzender)

Oja Ik was huiverig dat door het slechte weer de post iets vertraging op zou lopen maar nu blijkt het ook online erg druk! Ik hoop dat je alsnog deze bijzondere kerst wens wilt bekijken die ik voor jou heb gemaakt..
27-12-2010, 10:01 door Anoniem
Beste,

Ik heb vandaag ook zo een e-mail gekregen. Ik ben iemand die gauw doorheeft dat deze soort emails scam of cyber-reclame zijn. Maar bij deze blijkbaar niet :)
Net voordat ik de link in de email wou openen, gaf ik de domein naam in bij google en kwam ik hier terrecht.

mijn e-mail:
""
Ola.
Ik ben dit jaar wat later dan anders maar wil jou toch graag deze mooie kerstwens toesturen.


Speciaal voor jou heb ik een kerst kaart in elkaar gezet om je het allerbeste toe te wensen voor het jaar 2011.
Je kunt me kerst boodschap openen via http://www.msnfijnekerst.com/**********
Ik hoop dat 2011 voor jou echt een leuk jaar gaat worden:)


Groet!


Psst:Ik was bang of door het weer de reguliere post vertraging op zou lopen maar nu is het ook online druk. Ik hoop dat je alsnog deze bijzondere kerstwens wilt openen die ik voor jou heb gefabriceerd.


""
(het was dat laatste dat net dat beetje vertrouwen gaf om de link te willen openen)

Het is trouwens vrij logisch dat de server in rusland zal staan. Als je hier in Belgie/nederland een server koopt, en gebruikt als spam/scam-server, dan is hem al na enkele dagen offline.

Deze mensen waren ook zo slim dat ze de website ontoegankelijk maakten voor google crawler. Hierdoor zal de website niet opgemerkt worden door de beste scam/spyware-scanner. Hierdoor zal hun server langer "overleven".

Ik snap het nut niet waarom we hier een forum rond maken, maar ik heb toch gereageerd omdat ik het terugpakken van scammers altijd wel een leuk idee vindt.

Veel succes der mee


(gelukkige feestdagen nog)

VC
27-12-2010, 11:08 door Anoniem
ik heb er ook al 2 gekregen.
was nieuwsgierig naar wat het zou kunne zijn en heb na google onderzoek deze site gevonden. ben ik blij dat ik niet op de link klikte.
grtz
27-12-2010, 11:23 door Anoniem
Ik heb dus zojuist ook een zogenaamde kerst kaart gekregen met een mailtje die erg goed geschreven was, van een goede virend. Maar toch, ook al was er zo'n goede tekst bedacht, aan de manier waarop wist ik: dit komt niet van hem, want zo schrijft hij nooit zijn teksten aan mij. Ook al lijkt het net echt in het mailtje. Moest ook mijn 06-numme rinvullen, maar toen ik inderdaad rechts-boven in zag dat het een abonnement was van 36 euro per week dacht ik: die lui zijn gek. Dus mensen, never nooit openen en niet intrappen! En bel of sms die personen anders eerst om te checken of ze je een kaart hebben gestuurd op die manier (als je toch aan de mail twijfelt)

Groet, Nienke
27-12-2010, 11:24 door Anoniem
Je zal ook merken dat de link anders is dan hetgeen in de mail staat.

Er staat http://www.msnimagetube.com/?tube=176630 maar de eigelijke url waar je naartoe gaat is iets van http://emailnaam.msnimagetube.com/?rcpt=emailadres@hotmail.com

Met andere woorden: je stuurt de phishing site welk e-mailadres de mail heeft ontvangen (lees welk e-mailadres er kan worden gekraakt).
27-12-2010, 11:47 door peanuty
Wordt een hoop geschreven van; ja, heb ik ook gekregen.
Maar iemand misschien een antwoord op zijn vraag wat deze code doet?
27-12-2010, 12:12 door [Account Verwijderd]
[Verwijderd]
27-12-2010, 12:19 door Anoniem
jo,
ik kreeg er net een.
maar de site die laad idd de java, maar verder krijg ik een error.

geen idee wie dit stuurd maar zowizo denk ik wel dat het niet is van degene die de op de email staad.
27-12-2010, 12:22 door Anoniem
zoals ik even snel naar de code heb gekeken activeert het een meganisme dat daar op de server een melding geeft.
volgens mij is het bedoeld om info zoals een IP en dat soort dingen op te halen
27-12-2010, 13:26 door spatieman
Krijg ze allemaal op mijn hotmail, VAN hotmail gasten, waarschijnlijk zijn die zo dom geweest om hun msn wachtwoord weer eens ergens achter te laten.
27-12-2010, 13:52 door Bitwiper
Door Peter V: Als onbekenden, je ongevraagd dit soort mail toezenden, dan luidt het devies: NOOIT op reageren!
Dat snappen de meeste mensen wel. Misschien even lezen voordat je zoiets voor de hand liggends roept?
Door Diego de la Vega: [...]
Ze leken rechtstreeks van het e-mail adres van vrienden te komen. Met in de mails een link, zogezegd naar een e-card dienst van msn!
[...]
27-12-2010, 14:44 door Diego de la Vega
Bedankt voor jullie vele reacties!

Ik krijg van verschillende bronnen aan verschillende kanten van Vlaanderen meldingen van deze mails. Ik veronderstel dat ze in Nederland hier ook last van hebben, of niet?

Ik heb verder onderzoek van de website en van de e-mail header toegevoegd aan mijn originele post.

Weet iemand waarom momenteel mijn BBcodes niet werken? Nu is mijn originele post wel heel onoverzichtelijk. Ik krijg mijn heel onderzoek niet in de post, want security.nl geeft een alert dat mijn post spam is, hoe ironisch :-).

Reacties:


@Mark: Bedankt Mark.
Ik had de eigenlijke website (met het inschrijven voor een sms-abonnement) nog niet gezien. Ik kopieerde en plakte de link "http://www.msnspecialekerst.com/?kaart=176630", zelf in een browser. Dan krijg je de foutmelding "Not Implemented" omdat er te weinig variabelen meegeven worden in de url.
Maar als je rechtstreeks op de link klinkt in de mail dan ga je naar de eigenlijke hyperlink achter de tekst, en dan kom je inderdaad bij die phising website. Iets wat ik nog niet durfde :-), kwestie van op te letten voor spam.


Door Anoniem:

Wel raar dat juist rommel als dit door komt op mijn hotmail. Zou verwachten dat ze dit snel de kop in zouden drukken.

groeten,
peter

Peter, daar heb je volledig gelijk in, dat dat raar is. Dat komt namelijk omdat deze fake e-mails zo goed gemaakt zijn: rechtstreeks van je vrienden en telkens met ander zinnen en leestekens e.d. Bijna onmogelijk voor een spam-filter dus.


Door VC:
Het is trouwens vrij logisch dat de server in rusland zal staan. Als je hier in Belgie/nederland een server koopt, en gebruikt als spam/scam-server, dan is hem al na enkele dagen offline.

Je hebt gelijk, het is logisch dat hij in Rusland, China, Oekraïne, ... zou staan. Het was echter mijn eerste bewijs dat deze sites gemaakt zijn door cybercriminelen. Het wilt dus echter niet zeggen dat de fake websites gemaakt zijn door Russen.
27-12-2010, 15:21 door Anoniem
Heb net ook zo een binnengekregen. Maar de laatste paar weken krijg ik af en toe een post delivery failure. Blijk ik zelf ook zo'n spam te versturen via hotmail. Maar wel op momenten dat mijn eigen computer niet aan staat. Hoe kan ik dat vermijden? Ik wil helemaal geen spam rondstrooien!!!
27-12-2010, 15:45 door Anoniem
Dan moet je je wachtwoord wijzigen...
27-12-2010, 15:55 door Diego de la Vega
Dank je Anoniem 15:21. Omdat je zegt dat de mails worden verstuurd wanneer je computer niet aan staat, weten we dat het niet een lokaal probleem is op je pc (door malware die op je pc staat), maar doordat ze je wachtwoord hebben. Het enige wat je dus moet doen is je wachtwoord veranderen.

Wil jij nog iets doen? Surf eens naar volgende website en zie of je die herkent als de website waarin je je gegevens per ongeluk hebt opgegeven: http://www.msnpicturenet.com//?rcpt=test@hotmail.com&refer=test.msnimagetube.com Dankjewel.
27-12-2010, 16:02 door Diego de la Vega
Gebruik je trouwens veel MSN? Want dat zou ook een infectiebron kunnen zijn.

De links in mijn mails werken niet meer. Waarschijnlijk is die link of mijn IP-adres al te vaak gebruikt. Nog een aanwijzing dat ze wel heel doordacht te werk zijn gegaan.
27-12-2010, 16:04 door Anoniem
Anoniem 15:21 en Diego.
Mailtjes worden verstuurd met valse email-adressen.

Dus dit betekent niet dat ze jouw wachtwoord hebben.
Het is namelijk vrij makkelijk om bij de afzender een ander email-adres mee te sturen.
27-12-2010, 16:43 door Diego de la Vega
16:04 door Anoniem

Zou je dat eens willen testen bij hotmail? Want zoals je in de e-mail header kan zien lijkt het wel degelijk van hotmail-servers te komen. Ik heb het ooit al eens uitgetest bij de SMTP-server van mijn locale ISP, maar ik wil je dat toch wel eens zien doen bij hotmail.
27-12-2010, 16:55 door Syzygy
De infectie bron blijkt een site met Dierenporno te zijn dus ..................... ;-)
27-12-2010, 18:10 door Anoniem
Door Anoniem: Anoniem 15:21 en Diego.
Mailtjes worden verstuurd met valse email-adressen.

Dus dit betekent niet dat ze jouw wachtwoord hebben.
Het is namelijk vrij makkelijk om bij de afzender een ander email-adres mee te sturen.

Dan geraken ze niet tot in je inbox (of met een waarschuwing dat het bericht niet vanuit hotmail verstuurd werd).
Ik krijg die mails alleen van personen die ik ken, zonder wachtwoord geraak je niet aan de contacten van een mailadres.

Ik vermoed dat wanneer je op een link klikt jouw cookies van hotmail worden gelezen. Cookies zijn normaal site-gebonden, hoe dat omzeilt wordt weet ik niet, maar het is mogelijk. Vervolgens wordt jouw wachtwoord uit de cookie gehaald (brute force decriptie misschien?).
Dan is het allemaal niet zo moeilijk om de mails te verspreiden en te doen alsof het van je vrienden komt.
27-12-2010, 19:09 door Anoniem
Ook ik heb het al aardig vaak binnen gekregen en lijkt dat mensen hun gegevens op een website hebben achter gelaten en er gebruikt wordt gemaakt van de (SMTP) servers van hotmail. Aangezien in de headers ook totaal geen andere mailservers phpmailers of iets dergelijks in worden vermeldt.

Hieronder het berichtje
Hi,

Heb jij een fijne eerste kerst avond gehad? Ikke wel hoor. En het is nu al weer bijna 2011... gaat snel zeg!


Speciaal voor jou heb ik een kerst berichtje in elkaar gezet om je het beste toe te wensen voor 2011.

Je kan mijn speciale kerst creatie zien via http://www.msnkerstboodschap.com/?kaart=950784

Alvast een heel goed 2011 toegewenst! Dat het een mooi jaar voor jou mag worden,


Mzzl Chantal
27-12-2010, 19:25 door Bitwiper
Volgens http://whois.domaintools.com/87.118.101.175 heeft gpftor2.privacyfoundation.de als IP-adres: 87.118.101.175. Dat adres vind je inderdaad onder "gpfTOR2" in http://server.privacyfoundation.de/index_en.html.

De malwareverspreiders gebruiken dus tor om zichzelf te anonymiseren. Gebruikmakend van dat netwerk loggen ze in met de gestolen accountgegevens op Hotmail (webmail) zodat ze zelf niet of nauwelijks te traceren zijn (er is dus geen sprake van SMTP spam via tor, wat volgens Etiquette onder http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29 niet mogelijk zou moeten zijn, en bovendien staan Hotmail mailservers niet bekend als open relays).

Laat maar aan je vrienden weten dat hun account gehacked is...
27-12-2010, 19:28 door Anoniem
92.241.190.0/24

msn1000direct.com
msn1000egratis.com
msn1000enu.com
msn1000euro.com
msn1000eurogratis.com
msn1000eurowinnen.com
msn1000gratis.com
msn1000meteen.com
msnalbumfotos.com
msnalbumpictures.com
msnalbumshots.com
msnalbumvrienden.com
msnappleiphone.com
msnappleiphone4.com
msnbestfotos.com
msnbonusprijs.com
msnbonusquiz.com
msnbravia3dtv.com
msnbravia4u.com
msnbraviagratis.com
msnbraviawin.com
msnbudypics.com
msncashjackpot.com
msncheckstamboom.com
msncollegeprofile.com
msncommunityblog.com
msncommunityfotos.com
msncommunitypics.com
msncommunitypictures.com
msncrazypics.com
msndegratisipod.com
msndelovetest.com
msndenano.com
msndenintendo.com
msndeprijspot.com
msndesony.com
msndie1000euro.com
msndiebravia.com
msndieiphone4.com
msndirect1000.com
msne1000gratis.com
msne1000krassen.com
msne1000lot.com
msneensony.com
msnfacenetwork.com
msnfacepictures.com
msnfanimages.com
msnfotoaccount.com
msnfotoalbum.com
msnfotoalbumspot.com
msnfotoarchive.com
msnfotoboard.com
msnfotobook.com
msnfotocommunity.com
msnfotofans.com
msnfotolook.com
msnfotomash.com
msnfotonet.com
msnfotonetwork.com
msnfotopeeps.com
msnfotoplaza.com
msnfotoregister.com
msnfotoreport.com
msnfotoset.com
msnfotoshare.com
msnfotosharing.com
msnfotoshots.com
msnfotoslide.com
msnfotostream.com
msnfototracker.com
msnfriendfotos.com
msnfriendscommunity.com
msngeheimelover.com
msngeldpot.com
msngeldquiz.com
msngeldwinnen.com
msnglobalnetwork.com
msngratis1000nu.com
msngratisbravia.com
msngratisipod.com
msngratisipodnano.com
msngratisipodwinnen.com
msngratiskrassen.com
msngratisnano.com
msnhetlot.com
msnhitjackpot.com
msnhotprofile.com
msnhotprofileshow.com
msnhotshotsz.com
msnhotshotz.com
msnimageaccount.com
msnimagebook.com
msnimagebuddy.com
msnimagecommunity.com
msnimagedump.com
msnimagenet.com
msnimagenetwork.com
msnimagenetworks.com
msnimagepals.com
msnimagepeeps.com
msnimageplace.com
msnimageregister.com
msnimageset.com
msnimageshare.com
msnimageshares.com
msnimageslide.com
msnimagestream.com
msnimgcontacts.com
msnimgnetwork.com
msnimgsocial.com
msniphone4jou.com
msniphone4nuwinnen.com
msniphonenuwinnen.com
msnipodgift.com
msnipodnano.com
msnipodnanogratis.com
msnipodnanowinnen.com
msnipodwinnen.com
msnjackpotcash.com
msnjackpotprijs.com
msnjebraviagratis.com
msnjegeheimelover.com
msnjegeld.com
msnjeiphone4nu.com
msnjeiphonenu.com
msnjekraslot.com
msnjelover.com
msnjenintendo.com
msnjesecretadmirer.com
msnjesonygratis.com
msnjounano.com
msnjouw1000e.com
msnjouwbonus.com
msnjouwbravia.com
msnjouwiphonenu.com
msnjouwipod.com
msnjouwipodnano.com
msnjouwkraslot.com
msnjouwlot.com
msnjouwlover.com
msnjouwnano.com
msnjouwprofiel.com
msnjouwsony.com
msnkras1000e.com
msnkras1000eur.com
msnkras1000euro.com
msnkrasbonus.com
msnkrasdieprijs.com
msnkrasgeld.com
msnkrasgratis.com
msnkrashier.com
msnkraslot.com
msnkrasmeteen.com
msnliefdestest.com
msnlotgratis.com
msnlovematcher.com
msnloverequest.com
msnloverontdekken.com
msnloversecret.com
msnloverstest.com
msnloves.com
msnlovetest.com
msnmatchprofiles.com
msnmeetlovers.com
msnmegabonus.com
msnmegacashprijs.com
msnmegapot.com
msnmegaprijs.com
msnmegaquiz.com
msnmegashow.com
msnmeteenprijs.com
msnmyfoto.com
msnmyprofilepic.com
msnnanogratis.com
msnnanowinnen.com
msnnetworkcommunity.com
msnnetworkimage.com
msnnetworkprofile.com
msnnieuwenano.com
msnnintendo.com
msnnintendo3d.com
msnnu1000e.com
msnnu1000euro.com
msnnu1000gratis.com
msnnukrassen.com
msnnuwingeld.com
msnontdeklover.com
msnopenprofile.com
msnpak1000e.com
msnpakdejackpot.com
msnpartycommunity.com
msnpartyfotos.com
msnpartynet.com
msnpartypics.com
msnpartypictures.com
msnpartyplace.com
msnpartyprofile.com
msnpartyspace.com
msnpicsnetwork.com
msnpicsocial.com
msnpictureaccount.com
msnpicturealbum.com
msnpicturearchive.com
msnpicturebook.com
msnpicturefans.com
msnpicturemash.com
msnpicturenet.com
msnpicturenetwork.com
msnpicturepeeps.com
msnpictureplaza.com
msnpictureprofile.com
msnpictureprofiles.com
msnpictureshare.com
msnpictureshares.com
msnpicturesharing.com
msnpictureslide.com
msnpicturespots.com
msnpicturestore.com
msnpicturestream.com
msnprijskrassen.com
msnprijspot.com
msnprijsquiz.com
msnprijzenjackpot.com
msnprijzenkrassen.com
msnprijzenpot.com
msnprijzenquiz.com
msnprijzenslag.com
msnprijzenwinnen.com
msnprofielfoto.com
msnprofielvrienden.com
msnprofileaccount.com
msnprofileblog.com
msnprofileboard.com
msnprofilebook.com
msnprofilebuddies.com
msnprofiledatabase.com
msnprofiledownload.com
msnprofilefriend.com
msnprofilelog.com
msnprofilematch.com
msnprofilematching.com
msnprofilenetwork.com
msnprofilepics.com
msnprofilesearch.com
msnprofilesecrets.com
msnprofileshots.com
msnprofileshow.com
msnprofileshows.com
msnprofilespace.com
msnprofilespaces.com
msnprofilespots.com
msnprofiletag.com
msnprofiletags.com
msnquizgeld.com
msnquizmasters.com
msnquizshow.com
msnquizwinnen.com
msnratedpictures.com
msnratedprofile.com
msnratedprofiles.com
msnratemypicture.com
msnratingprofiles.com
msnregisterfriends.com
msnrelatie.com
msnrelatietest.com
msnrequestlove.com
msnscommunityshots.com
msnscoordiebravia.com
msnsearchprofile.com
msnsecretadmirer.com
msnsecretadmirers.com
msnsecretlover.com
msnsecretlovers.com
msnsecretloving.com
msnselectedpictures.com
msnsexyprofile.com
msnsharepictures.com
msnshowprofile.com
msnshowprofiles.com
msnslideprofile.com
msnslideshow.com
msnsocialblog.com
msnsocialboard.com
msnsocialbook.com
msnsocialcommunity.com
msnsocialdump.com
msnsocialforum.com
msnsocialfotobook.com
msnsocialfotos.com
msnsocialfriend.com
msnsocialfriends.com
msnsocialpics.com
msnsocialpictures.com
msnsocialprofiel.com
msnsocialprofile.com
msnsocialprofiles.com
msnsocialprofilespot.com
msnsocialsearch.com
msnsocialspot.com
msnsonybravia.com
msnsonygratis.com
msnspottedprofile.com
msnstamboom.com
msnstamboomcheck.com
msnstamboomprofiel.com
msnsuperipod.com
msnsuperlot.com
msnsupernano.com
msnsuperprijs.com
msnsuperprofile.com
msnsuperquiz.com
msntaggedprofile.com
msntagpictures.com
msntagprofile.com
msnthelooks.com
msnthelovetest.com
msntoppictures.com
msntopprofiles.com
msntopsocialprofiles.com
msnturbojackpot.com
msnvriendenprofiel.com
msnwin1000.com
msnwin1000e.com
msnwin1000euro.com
msnwinbonus.com
msnwinbravia.com
msnwinbravianu.com
msnwindeipod.com
msnwindeipodnano.com
msnwindejackpot.com
msnwindenintendo3ds.com
msnwindiebravia.com
msnwineenipod.com
msnwineennano.com
msnwingratisipod.com
msnwinipod.com
msnwinipodnano.com
msnwinjackpot.com
msnwinjeiphone.com
msnwinjeiphone4.com
msnwinjenintendo3ds.com
msnwinjesony.com
msnwinjouwiphone4.com
msnwinjouwsony.com
msnwinlot.com
msnwinnano.com
msnwinnu.com
msnwinnu1000.com
msnwinnujouwiphone.com
msnwinnujouwiphone4.com
msnwinpot.com
msnwinsony.com
msnwinsonynu.com
msnwinvandaag.com
msnworldnetwork.com
msnyourlover.com
msnyourlovetest.com
msnyoursecretlover.com
msnyourspace.com
27-12-2010, 19:53 door Anoniem
Dezelfde melding gehad. De boodschap wordt naar al jou Hotmail contacten verstuurd.
Dit van www.msnkerstboodschap.com. In principe gaat de pagina niet open. Er wordt daadwerkelijk een Trojan op je PC geïnstalleerd. Deze kunnen verwijderen.

Verdere gegevens:
Host of the IP: www.msnkerstboodschap.com [Whois] [Reverse IP]
Host IP [?]: 203.127.43.7 [Whois] [Reverse IP]
IP country code: SG
IP address country: ip address flag Singapore
IP address state: n/a
IP address city: Singapore
IP address latitude: 1.2931
IP address longitude: 103.8558
ISP of this IP [?]: SingNet Pte Ltd
Organization: CISCO SECURITY PTE LTD
27-12-2010, 20:21 door Anoniem
Hallo,

Ik heb ook enkele keren mailtjes ontvangen. Ook ontvang ik vaak mailtjes die ik zou hebben gestuurd zonder mijn medeweten. Ik krijg dan te zien postmaster delivery fail....of iets dergelijks. Kennelijk worden er dus vanaf mijn account mails gestuurd met een kerstgroet zonder dat ik het weet. Dit wordt gestuurd naar vrienden in mijn adresboek.

Ik ben echt een computer analfabeet, dus ik hoop dat iemand mij kan vertellen hoe ik dat kan laten stoppen.
Ik hoor graag van jullie.

Groetjes mark R
27-12-2010, 22:35 door Anoniem
In Vlaanderen worden ze ook verzonden. Telnrs beginnen met 04 (begin van elk mobiel nummer in Vlaanderen).

Een paar weken geleden heb ik mails gekregen die mogelijk van dezelfde organisatie zijn (DNS ook Russisch).

"Hallo,

Natalie ******** heeft meteen bij een netwerk je portret gezien en deze een oordeel 7 gegeven.
Wist je welke portret het gaat of wil je die nog een keer zien?
Dan kun je nu gelijk naar je network gaan bij: http://www.msnopensocial.com/?spotted=scndsky@hotmail.com


Groeten
Natalie *******

Open deze dus nu. Er zijn al 9 van je vriendinnen voor gegaan.."

Op de site krijg je een soort van MSN Messenger aanmeldvenster, maar nergens staat vermeld dat het om een Microsoft site gaat. De URL lijkt verdacht veel op die van msnkerstkaarten.com. Van de 3 vrienden van wie ik kerstkaartmails gekregen heb, heb ik ook 2 van bovenstaande mail gekregen. Mogelijk plannen ze in de toekomst dus nog varianten.
28-12-2010, 00:22 door Ilja. _V V
Door Diego de la Vega:
Weet iemand waarom momenteel mijn BBcodes niet werken? Nu is mijn originele post wel heel onoverzichtelijk. Ik krijg mijn heel onderzoek niet in de post, want security.nl geeft een alert dat mijn post spam is, hoe ironisch :-).

Ja, Tenminste, gedeeltelijk..:

Hier gaat het fout met een niet afgesloten tag, de / mist (hopen dat dit lukt overigens, want als de forumsoftware een fout ontdekt in de BBcode, dan gaan alle codes fout, irritant, nee, helaas, dan maar zo):
Door Diego de la Vega:
? VERDER ONDERZOEK [/quote]Overigens was het goed toen ik je post de eerste keer las, dus ik heb een donkerbruin vermoeden dat de Redactie tijdens het mod(d)eren/redigeren, alvorens ze het bovenaan zetten, die fout veroorzaakt heeft!

Verder staan er nogal wat &#xx;'s in & als je die er zelf al niet in hebt gezet dan worden de oorspronkelijke tekens door de forumsofware bij het wijzigen omgezet in het &#xx;-equivalent. Ook heel irritant!

Ga ze mailen!!! ;-)
28-12-2010, 00:35 door 4178656c
Hoi,

Ik heb er laatst ook een gehad, maar dan met een url die hier nog niet genoemd is: msnkaart.com

Na wat verder onderzoek, ben ik op het volgende gekomen:

Domain WHOIS geeft onder andere het volgende:

Domain name: MSNKAART.COM
Name Server: ns1.msnkaart.com 92.241.190.64
Name Server: ns2.msnkaart.com 92.241.190.124
Name Server: ns3.msnkaart.com 92.241.190.218
Creation Date: 2010.12.24
Expiration Date: 2011.12.24

Deze IP adressen zijn hetzelfde als eerder genoemd. Een reverse lookup naar deze adressen levert het volgende op:
C:\>nslookup
> set type=ptr
> 92.241.190.64
Server: UnKnown
Address: 4.2.2.2

Non-authoritative answer:
64.190.241.92.in-addr.arpa name = cp.heihachi.net
> 92.241.190.124
Server: UnKnown
Address: 4.2.2.2

Non-authoritative answer:
124.190.241.92.in-addr.arpa name = heihachi.net
> 92.241.190.218
Server: UnKnown
Address: 4.2.2.2

*** UnKnown can't find 218.190.241.92.in-addr.arpa.: Non-existent domain

Als je vervolgens verder gaat zoeken naar dat domein, kom ik tot de volgende conclusie:

http://www.spamhaus.org/news.lasso?article=665
Hier is een heel verhaal over dat deze Russische cybercriminelen een Wikileaks Mirror met malware opgezet hebben (wikileaks.INFO)

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL68370
De IP adressen van de nameservers vallen onder een blokkade van Spamhaus. Als je vervolgens kijkt onder welke activiteiten sommige hosts bekend zijn schrik je wel even (botnets, malware, porn spam, pill spam).

Iets waar je zo weinig mogelijk mee te maken wilt hebben dus (maar ik denk dat dat inmiddels wel duidelijk was)

Gr.

Axel
28-12-2010, 01:09 door Anoniem
Ik heb (op een iPhone dus misschien opent die de site minder goed oid?) op de link gedrukt!! :(
Spam ik dan nu vervolgens ook per ongeluk mn vrienden?
Ik kreeg wel een error-pagina (of 404 ofzo, weet niet meer) te zien.
28-12-2010, 08:26 door Anoniem
ik ben zo stom geweest om mijn gsm-nummer in te geven op de site die ik opende via zo een kerstkaart.
Sindsdien krijg ik om de 2 uur een merichtje op mijn gsm van het nummer 0476124010 met de melding "kan het bericht hier niet openen". Ik kan hierop niets terugsturen en ook niet bellen.
Weet iemand hoe ik dit kan stoppen?
28-12-2010, 10:46 door spatieman
Door Anoniem: 92.241.190.0/24

msn1000direct.com
msn1000egratis.com
msn1000enu.com
msn1000euro.com
msn1000eurogratis.com
msn1000eurowinnen.com
msn1000gratis.com
msn1000meteen.com

* KNIP *
Filtertjesdoen maken met reg expresion ,thnx !
28-12-2010, 10:48 door peanuty
Hoe je dat kan stoppen? GSM? geen idee. Sorry.
Misschien dat je het nummer kunt opgeven bij; belmijniet.nl of zoiets.

Er zijn hier meerdere pc's in huis. Tot nu toe worden berichten over kerstkaarten, groetjes en al het overige met links erin altijd netjes nagevraagd. Meest simpele is om het onderwerp in een zoekmachine te gooien en vaak blijkt het dat om spam of malware/spyware of een virus te gaan.

Heb je een vriend/kennis die homo is... en hij stuurt een berichtje met; klik hier en bekijk een mooie vrouw..
Tsja, niet openen.
28-12-2010, 12:11 door spatieman
pinda?
heb je uberhaupt wel de moeite genomen om het bericht te lezen.
en wat is dat voor een onzin, om dit soort berichten met de mede homo mens te linken..
28-12-2010, 12:21 door Anoniem
Door Anoniem: ik ben zo stom geweest om mijn gsm-nummer in te geven op de site die ik opende via zo een kerstkaart.
Sindsdien krijg ik om de 2 uur een merichtje op mijn gsm van het nummer 0476124010 met de melding "kan het bericht hier niet openen". Ik kan hierop niets terugsturen en ook niet bellen.
Weet iemand hoe ik dit kan stoppen?

Ik denk dat elk berichtje op je GSM je gelijk ook een paar euro kost.
Meteen die GSM uitzetten denk ik : geen bericht ontvangen -> geen kosten ?
(Kan je online kijken naar je telefoonrekening ?)

En dan klacht/meldingen richting KPN, Tele2 , Vodafone of welke provider je dan ook hebt.
28-12-2010, 12:50 door Anoniem
header onderzoek geeft inderdaad aan dat het TOR netwerk gebruikt wordt, het is zeer moeilijk (onmogelijk?) om hier correcte identificatie te krijgen,

Zelfs als de politiediensten de IP-adressen in handen krijgt die gebruikt zijn voor de domeinnamen te registreren (bij provider singnet in Singapore, 203.127.43.7) zullen deze waarschijnlijk ook onnuttig zijn wanneer de daders weer het Tor-netwerk gebruikt hebben...

Toch een luxe voor georganiseerde criminaliteit zulke tools als het TORnetwerk....
28-12-2010, 12:59 door Anoniem
Ja meteen je provider bellen, straks kost het je een vermogen.

Ik kreeg deze (gelukkig niet geopend) met msnspecialkerst.com - net weer even anders dus

Ooi.

Oeps.. Ik ben dit jaar wel heel erg laat geweest met het maken van de kerstkaartjes maar wil toch nog van de gelegenheid gebruik maken om jou het aller beste toe te gaan wensen..

Bij deze site heb ik dit jaar een leuke kerst kaart voor je gemaakt!
Je kunt me kerst bericht bekijken via: http://www.msnspecialkerst.com/?kaart=997029
Alvast een heel fijn 2011 toegewenst! Dat het een succesvol jaar voor jou mag zijn,

Dag

PS::Ik was huiverig of door het slechte weer de post vertraging op zou lopen maar nu is het ook online erg druk! Ik hoop dat je deze mooie kerst wens wilt bekijken die ik voor jou heb gefabriceerd.


En die met die foto's/cijfers krijg ik ook. Klik er nooit op, omdat die supernep zijn, maar deze vond ik best goed. Als dat PS er niet had bijgestaan had ik er misschien nog ingetrapt.. Maar die tekst en dat "dag" was zo overduidelijk niet van mijn contact, dat ik even heb gegoogled en op deze site uitkwam.
Ik kom trouwens uit Nederland, dat vroeg iemand hierboven.
28-12-2010, 13:06 door Anoniem
(Met het risico op naïviteit) vraag ik mij toch af of het ingeven van een 06 nr en het aan klikken van een link kan leiden tot eventuele kosten. Stel ik vul een nr in van een willekeurig iemand?
28-12-2010, 13:50 door Diego de la Vega
Voor diegenen die slachtoffer zijn geworden: ik heb onderaan mijn onderzoek een stukje toegevoegd hoe je het oplost.

@Ilja: THX! De BBcodes werken weer.

Door 4178656c:
http://www.spamhaus.org/news.lasso?article=665
Hier is een heel verhaal over dat deze Russische cybercriminelen een Wikileaks Mirror met malware opgezet hebben (wikileaks.INFO)

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL68370
De IP adressen van de nameservers vallen onder een blokkade van Spamhaus. Als je vervolgens kijkt onder welke activiteiten sommige hosts bekend zijn schrik je wel even (botnets, malware, porn spam, pill spam).
Gr.
Axel

Bedankt voor de tips, ik heb mijn post geupdate met die laatste link. Als je bij de eerste link verder leest zie je dat wikileaks.info inderdaad gehost is in hetzelfde criminele Russische subnet maar is zelf niet crimineel. Het is enkel daar gehost omdat het daar nu eenmaal veiliger staat voor overheden.

Door spatieman: Door Anoniem: 92.241.190.0/24
msn1000direct.com
msn1000egratis.com
msn1000enu.com
msn1000euro.com
msn1000eurogratis.com
msn1000eurowinnen.com
msn1000gratis.com
msn1000meteen.com
* KNIP *
Filtertjesdoen maken met reg expresion ,thnx !

Wat bedoel je met die regular expression? Hoe is anoniem 19:28 aan die lijst gekomen?

Hier zijn de domeinnamen die ik tot nu toe heb gevonden.

*** REEDS ONTDEKTE DOMEINNAMEN ***
* msnfijnekerst.com
* msnmetkerst.com
* msnspecialekerst.com
* msnkerstdroom.com
* msnjouwkerstwens.com
* msnpicturenet.com
* msnimagetube.com
* msnnewprofile.com
* msndekerst.com
* msnkerstboodschap.com
* msnimagecomment.com
* msnhotprofiel.com
* msnopensocial.com
* msnkaart.com
28-12-2010, 14:16 door Anoniem
Deze slinkse praktijken lijken op "geheimbericht", ik ben er helaas ook ingetrapt. Google maar eens op Joost Verpoort en Jeffrey Rooijmans, de juiste afmeldcodes zijn deze :

STOP naar 9586 voor Belgische
STOP naar 6999 voor Nederlandse

Verklaard mogelijk ook de goede Nederlandse schrijfwijze...
28-12-2010, 14:31 door Anoniem
Door Diego de la Vega: Hoe is anoniem 19:28 aan die lijst gekomen?

Via een betrouwbare methode.

Hieronder staan registraties van deze maand tot een paar dagen terug, via een andere methode:

msnbestprofiles.com
msnbuddylist.com
msncheckstamboom.com
msncrazyprofiles.com
msndeipodkiezen.com
msndeluxeprofiel.com
msndeluxespace.com
msneigenipod.com
msnexclusiveprofile.com
msnexclusiveprofiles.com
msnfacesbook.com
msnfavoriteprofiles.com
msnfijnekerst.com
msnfotoflock.com
msnfotofloks.com
msnfotogroup.com
msnfotolink.com
msnfotolog.com
msnfotonet.com
msnfotopage.com
msnfotoresult.com
msnfotosaccount.com
msnfotosbook.com
msnfototrack.com
msnfotowall.com
msnfriendbook.com
msnfriendgroup.com
msnfriendlocater.com
msnfriendlog.com
msnfriendrater.com
msnfriendsalbum.com
msnfriendsearch.com
msnfriendsfinder.com
msnfriendsnetwork.com
msnfriendswall.com
msngratisnanokiezen.com
msnhierjouwipodnano.com
msnhierjouwnano.com
msnhotprofiel.com
msnhotprofiles.com
msnimagefloks.com
msnimagelink.com
msnimagenet.com
msnimagepage.com
msnimageresult.com
msnimagesbook.com
msnimagewall.com
msnipodgratis.com
msnipodkeuze.com
msnjeipodkiezen.com
msnjeipodnu.com
msnjekleurkiezen.com
msnjouwgratisipod.com
msnjouwnanonu.com
msnkerstboodschap.com
msnkeuzeipod.com
msnkiesjeipod.com
msnkiesjekleur.com
msnkiesjenano.com
msnkiesjouwipod.com
msnkiesnujouwipod.com
msnmeteenjouwipod.com
msnnewprofile.com
msnnieuweipod.com
msnnieuwsteipod.com
msnnujenano.com
msnonlinefotos.com
msnonlineprofiel.com
msnopenalbum.com
msnopensocial.com
msnpakjeipod.com
msnpartyfloks.com
msnpartyfotosbook.com
msnpartylink.com
msnpartynet.com
msnpartypage.com
msnpartypicturebook.com
msnpartyresult.com
msnpeoplelocater.com
msnpeoplelog.com
msnphotobuck.com
msnphotoshare.com
msnpicturefloks.com
msnpicturegroup.com
msnpicturelink.com
msnpicturenet.com
msnpicturepage.com
msnpictureresult.com
msnpicturespider.com
msnpicturewall.com
msnprofilespecial.com
msnprofileupdates.com
msnratefriends.com
msnsocialgroup.com
msnsociallog.com
msnsocialspace.com
msnsocialstatus.com
msnspeciaalprofiel.com
msnspecialekerst.com
msnspecialmoments.com
msnstamboom.com
msnstamboomcheck.com
msnstamboomprofiel.com
msntopspaces.com
msnuniekekerst.com
msnviewalbum.com
msnwindienano.com
msnyouralbum.com
msnyournetwork.com
msnyourprofile.com
28-12-2010, 14:35 door spatieman
Door Diego de la Vega: Voor diegenen die slachtoffer zijn geworden: ik heb onderaan mijn onderzoek een stukje toegevoegd hoe je het oplost.


* KNIP *

Bedankt voor de tips, ik heb mijn post geupdate met die laatste link. Als je bij de eerste link verder leest zie je dat wikileaks.info inderdaad gehost is in hetzelfde criminele Russische subnet maar is zelf niet crimineel. Het is enkel daar gehost omdat het daar nu eenmaal veiliger staat voor overheden.

Door spatieman: Door Anoniem: 92.241.190.0/24
msn1000direct.com
msn1000egratis.com
msn1000enu.com
msn1000euro.com
msn1000eurogratis.com
msn1000eurowinnen.com
msn1000gratis.com
msn1000meteen.com
* KNIP *
Filtertjesdoen maken met reg expresion ,thnx !

Wat bedoel je met die regular expression? Hoe is anoniem 19:28 aan die lijst gekomen?



Ik gebruik mailwasher als mail filter.
Voorbeeld van boven

msn1000direct.com
msn1000egratis.com
msn1000enu.com
msn1000euro.com
msn1000eurogratis.com
msn1000eurowinnen.com
msn1000gratis.com
msn1000meteen.com

wordt dan msn100.+(\.com)
alle berichten, die als body een van de content van boven heeft.
wordt door mailwasher afgevangen, en dan meteen van de server gekeelt.

zo heb ik die DIKKE lijst van boven, (380 stuks of zo) terug weten te brengen tot 95 filter expressies.
28-12-2010, 14:44 door spatieman
oftopic.
om berichten te filteren, die je naar websites lokken, waar je je msn wachtwoord moet invullen.
heb ik dit gedaan
(regular expresion) http://.+(hier_je_email@adres\.whatever)

om maar te combineren met bovenstaande.
kerstgroet blablaba

Het bekijken van me kerst creatie kan op: http://www.msnspecialekersd.com/?kaart=dumbassuser@isp.nl
(typo's gemaakt inverband met dumbass users die toch willen klikken)
wordt afgevangen en wist op de server.
de link kan natuurlijk van alles zijn.
28-12-2010, 14:57 door Anoniem
Inclusief recentere domeinen:

msnbijkerst.com
msndekerst.com
msnfijnekerst.com
msngezelligekerst.com
msnjekerstwens.com
msnjouwkerst.com
msnjouwkerstkaart.com
msnjouwkerstwens.com
msnkerstbericht.com
msnkerstboodschap.com
msnkerstdag.com
msnkerstdagen.com
msnkerstdroom.com
msnkerstgroet.com
msnkerstgroeten.com
msnkerstkaart.com
msnkerstkaarten.com
msnkerstpost.com
msnkerstpresent.com
msnkerstprint.com
msnkerstspecial.com
msnkerstwens.com
msnlatekerst.com
msnleukekerst.com
msnmetkerst.com
msnnakerst.com
msnspecialekerst.com
msnspecialkerst.com
msnuniekekerst.com
msnvoorkerst.com
msnwarmekerst.com
msnbijkerst.com
msndekerst.com
msnfijnekerst.com
msngezelligekerst.com
msnjekerstwens.com
msnjouwkerst.com
msnjouwkerstkaart.com
msnjouwkerstwens.com
msnkerstbericht.com
msnkerstboodschap.com
msnkerstdag.com
msnkerstdagen.com
msnkerstdroom.com
msnkerstgroet.com
msnkerstgroeten.com
msnkerstkaart.com
msnkerstkaarten.com
msnkerstpost.com
msnkerstpresent.com
msnkerstprint.com
msnkerstspecial.com
msnkerstwens.com
msnlatekerst.com
msnleukekerst.com
msnmetkerst.com
msnnakerst.com
msnspecialekerst.com
msnspecialkerst.com
msnuniekekerst.com
msnvoorkerst.com
msnwarmekerst.com
msnbijkerst.com
msndekerst.com
msnfijnekerst.com
msngezelligekerst.com
msnjekerstwens.com
msnjouwkerst.com
msnjouwkerstkaart.com
msnjouwkerstwens.com
msnkerstbericht.com
msnkerstboodschap.com
msnkerstdag.com
msnkerstdagen.com
msnkerstdroom.com
msnkerstgroet.com
msnkerstgroeten.com
msnkerstkaart.com
msnkerstkaarten.com
msnkerstpost.com
msnkerstpresent.com
msnkerstprint.com
msnkerstspecial.com
msnkerstwens.com
msnlatekerst.com
msnleukekerst.com
msnmetkerst.com
msnnakerst.com
msnspecialekerst.com
msnspecialkerst.com
msnuniekekerst.com
msnvoorkerst.com
msnwarmekerst.com
28-12-2010, 19:04 door Anoniem
Door Anoniem: (Met het risico op naïviteit) vraag ik mij toch af of het ingeven van een 06 nr en het aan klikken van een link kan leiden tot eventuele kosten. Stel ik vul een nr in van een willekeurig iemand?
Ja, dat vraag ik me nu ook af, stel ik moet iemand niet en vul zijn/haar telefoonnummer in, wat dan?
28-12-2010, 22:41 door 4178656c
Door Anoniem:
Door Diego de la Vega: Hoe is anoniem 19:28 aan die lijst gekomen?

Via een betrouwbare methode.

Hieronder staan registraties van deze maand tot een paar dagen terug, via een andere methode:

msnbestprofiles.com
msnbuddylist.com
msncheckstamboom.com
msncrazyprofiles.com
msndeipodkiezen.com
enz......
Kan je ook uitleggen hoe je er aan komt? Dat het een betrouwbare methode is geloof ik graag, maar de vraag was hoe...?
29-12-2010, 01:37 door Anoniem
Door 4178656c:

Kan je ook uitleggen hoe je er aan komt? Dat het een betrouwbare methode is geloof ik graag, maar de vraag was hoe...?
[/quote]
Ja, dat kan ik. Om je volgende vraag voor te zijn, nee ik leg het niet en publique uit. Spammers willen dat ook graag weten.
29-12-2010, 11:16 door Anoniem
Zelf heb ik deze tekst nog uit de cache van mijn browser kunnen halen:

Dit is een betaalde abonnementsdienst. De kosten bedragen € 3.00 per item (+sms download kosten). Er zijn 7 items per week. Stoppen? Sms zela STOP naar 4664. Ben je jonger dan 16 jaar? Vraag toestemming aan je ouders (of voogd). Op deze dienst zijn de Algemene en Specifieke Voorwaarden van 12SMS van toepassing. Aanmelden voor de dienst betekent acceptatie van deze voorwaarden. 12SMS werkt volgens de Gedragscode SMS-Dienstverlening en de Reclamecode SMS-Dienstverlening. Er geldt geen herroepingsrecht of inzichttermijn. Minimale abonnementsduur bedraagt 1 week, aangezien direct na aanmelding alle contentberichten van die week worden verstuurd. Tot wederopzegging wordt verzending van de totale wekelijkse contentberichten in principe herhaald op dezelfde dag van de week als de dag van aanmelding. Mobiel internet is vereist. 12SMS, Hanevi'im 7, 64356 Tel Aviv Israel. Registratienummer en BTW 514296485. Meer info: +97239150769 of nl.support@12sms.mobi. http://www.12sms.mobi

Wat mij verder opvalt is als je direct naar het eerder genoemde IP surft dan kom je ook daadwerkelijk uit bij 12sms.mobi ( http://203.127.43.7 ). Als je het doet via een van de kerst namen dan krijg je die kaart te zien.

Als ik verder google op 12SMS dan blijkt ook de naam achter dit bedrijf Joost Verpoort te zijn. En het lijkt erop dat de heer Verpoort al eerder de fout in is gegaan door MSN gegevens te (mis/ge)bruiken zie http://tweakers.net/nieuws/57716/ox-2-gebruik-msn-wachtwoord-is-legaal-reclamemiddel.html
29-12-2010, 13:39 door Anoniem
http://tweakers.net/nieuws/71631/tientallen-domeinen-sms-oplichtersbende-onbereikbaar-gemaakt.html

En ze hebben er iets aan gedaan.
29-12-2010, 14:34 door Anoniem
Tientallen domeinen sms-oplichtersbende onbereikbaar gemaakt

http://tweakers.net/nieuws/71631/tientallen-domeinen-sms-oplichtersbende-onbereikbaar-gemaakt.html
29-12-2010, 16:44 door Anoniem
een oudere link in mijn e-mail doet het nog wel, en heb de moeite genomen dit op youtube te zetten :)

Zie: http://www.youtube.com/watch?v=R3k2nqimEJ4
29-12-2010, 20:12 door Syzygy
en vergeet deze niet


Msnfotoflock.com
Msnfotonetwork.com
Msnfotosaccount.com
Msnimageaccount.com
Msnpicturestream.com
Msnyourspace.com
Msnfotolink.com
Msnimagelink.com
Msnimagepage.com
Msnpicturepage.com
Msnjouwkerstkaart.com


http://www.domaintools.com
29-12-2010, 21:06 door Anoniem
Beste mensen,

Helaas ben ik er ook ingetrapt en heb mijn mobiele nummer ingevoerd omdat ik van mening was dat ze niets met mijn nummer kunnen doen.. Zoals iemand hierboven al zei, je zou in principe elk willekeurig nummer in kunnen toetsen..

Maar nadat ze me vroegen terug te smsen met OK, heb ik dat natuurlijk niet gedaan, sindsdien gelukkig geen smsjes of wat dan ook ontvangen..

Denken jullie dat ik nu alsnog onaangename kosten terug zal zien op me telefoonrekening?
29-12-2010, 22:41 door Anoniem
Geregistreerd op de 27e:

msnfotoconnect.com
msngezelligekerst.com
msnimageconnect.com
msnimgconnect.com
msnjouwkerst.com
msnkerstdag.com
msnkerstdagen.com
msnkerstpost.com
msnkerstpresent.com
msnkerstspecial.com
msnlatekerst.com
msnleukekerst.com
msnlinkedfoto.com
msnlinkedimage.com
msnlinkednetwork.com
msnlinkedpicture.com
msnnakerst.com
msnnetworkconnect.com
msnpicconnect.com
msnpictureconnect.com
msnprofileconnect.com
msnspecialkerst.com
msnwarmekerst.com
msnyourconnect.com
30-12-2010, 00:26 door Anoniem
Hi

Ik weet niet hoe oud dit bericht is, maar ik maakte vandaag hetzelfde mee met een blabla verhaal over fotos op mijn msn profiel. Een link naar msnprofilupdates.com werd gegeven, maar die link was gelukkig stuk. Naar aanleiding van dit verhaal even een whois search gedaan, en inderdaad. msnprofileupdates is geregistreerd in rusland. Scam dus. Niet intrappen. Denk dat de schade overigens zeer beperkt is, omdat de website al stuk is.

Leen
01-01-2011, 12:03 door Anoniem
Ik ga over 1 uur mijn leven 'hervatten' en begin met de nieuwjaarsduik!! X Essie
03-01-2011, 23:47 door Anoniem
Er zit een bepaald beveiligingslek in Hotmail (ik weet er de details niet van, misschien XSS) waardoor een spammer namens een gebruiker aan zijn hele contactenlijst een mailtje kan sturen, dat bijna niet van echt te onderscheiden is. Meerdere vrienden e.d. hebben me al per ongeluk gespamd en het zorgwekkende is dat dit al +/- 1,5 jaar gebeurt. En natuurlijk dat de spammer toegang heeft tot de contactenlijst!!

Het verstuurde mailtje staat netjes in de verzonden mails van Hotmail. Daardoor lijkt het mij dat het probleem niet in de SMTP servers van Hotmail zit, maar ergens in de web-app. De mensen die ik ondersteun als hun "handige harry" houden bij hoog en bij laag vol dat ze hun wachtwoord niet ergens anders dan op msn.com hebben ingevuld, Nadat ze op mijn aanraden hun wachtwoord veranderden verstuurden ze nog steeds spam.

Ik had ze al uitgelegd dat ze voorzichtig moeten zijn met wachtwoorden en dat zijn ze ook best. Een vriendin van me liet me dit mailtje zien en was zelf al op onderzoek gegaan naar wat voor domein msnkerstkaarten.com precies was. (Complimentje voor URL's lezen!) Maar volgens mij kun je er dus helemaal niets aan doen. Een duistere gratis spelletjes of video streaming site of advertentie-netwerk kan blijkbaar code naar je browser sturen die een mailtje namens jou naar al je contacten stuurt.
30-03-2011, 19:42 door Anoniem
Let op mailtjes met de link msnjevrienden.com, dit was ook zo iets.
12-09-2011, 09:45 door Anoniem
Ik heb er per ongeluk wel opgeklikt. maar ik heb gelijk stop gsmst naar 6070. is het dan opgelost?
13-09-2011, 12:09 door spatieman
nee.
13-09-2011, 13:15 door Rubbertje
Mensen, DIT IS EEN OUDE TOPIC (van december 2010). En hier is een soortgelijke topic: http://www.security.nl/artikel/33332/is_dit_een_phissing_site.html
13-09-2011, 13:36 door Anoniem
Ze zijn anders weer actief hoor. O.a. onder de naam Fun2m (op de Seychellen?). Maar dan geen kerstkaarten, maar gewoon andere E-cards. Concept is hetzelfde. Nummer 6070 inderdaad.

Misschien kun je via smsdienstenfilter alle betaalde diensten op blokkeren zetten. (?) Hopen dat het dan is opgelost.
14-09-2011, 20:42 door Anoniem
Hier net zo'n mail, verzonden en ontvangen op 14-9-2011

hey Leonie,

op http://www.msnfijneweek.com/?ecard=231936 staat die kaart die ik je zonet heb toegestuurd

ik denk dat je um leuk gaat vinden

groetjes
Daniela
27-10-2011, 18:35 door Anoniem
Had jij op www.msnkrijgjekaart.com/?BdE=3189719268 al me wenskaartje bewonderd

dit is de nieuwe uitvoering
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.