Computerbeveiliging - Hoe je bad guys buiten de deur houdt

XS4ALL Phishing

11-09-2012, 11:29 door SirDice, 35 reacties
Ik heb al diverse phishing emails mogen ontvangen.

We hebben problemen in onze database met betrekking tot uw account,
meldt u zich aan bij uw account te verifiëren.
KLIK HIER --> http://tinyurl.com/xs4all-online-verification

Customer Service

technische ondersteuning
XS4ALL online

Geachte Webmail Gebruiker:

Uw mailbox heeft overschreden de limiet die is 20GB zoals ingesteld door de beheerder,
u op dit moment draait op 20.9GB, kunt u niet in staat zijn om te sturen KLIK DAN
HIER
<https://docs.google.com/a/norman.k12.ok.us/spreadsheet/viewform?formkey=dGdrVWRqNG5FZkg4ME1uWGRDcGVXVWc6MQ>
:

Dank U
Systeem Beheerder

Xs4all.Nl
Reacties (35)
11-09-2012, 12:04 door carolined
Helpdesk bellen ... :-)
11-09-2012, 15:20 door Bitwiper
@SirDice: heb je gekeken waar de exploit uit bestaat? Word je geredirect voor eventuele malware? Ik zit zelf even niet om een plek om hier in te kunnen duiken (en vanavond is de malware misschien al weg).

Veel mensen zullen Google Docs als betrouwbaar karakteriseren, maar als het bovenstaande klopt lijkt dat vertrouwen onterecht te zijn...
11-09-2012, 15:25 door SirDice
Door Bitwiper: @SirDice: heb je gekeken waar de exploit uit bestaat? Word je geredirect voor eventuele malware? Ik zit zelf even niet om een plek om hier in te kunnen duiken (en vanavond is de malware misschien al weg).

Veel mensen zullen Google Docs als betrouwbaar karakteriseren, maar als het bovenstaande klopt lijkt dat vertrouwen onterecht te zijn...
Die Google docs link geeft een wazig inlogscherm waar om je XS4ALL gegevens gevraagd wordt (ziet er heel erg fake uit) en heb ik inmiddels al gerapporteerd. Die tinyurl link verwijst naar http://sites.internet.lu/folders/chuithalbe/xs4all.html. Ook die heb ik gerapporteerd en lijkt inmiddels uit de lucht (resulteert in een 404). Die laatste link was een perfecte kopie van het inlog scherm van XS4ALL's webmail.

Ik heb verder geen malware gezien, blijkbaar waren ze alleen uit op accounts en wachtwoorden.
11-09-2012, 16:23 door Anoniem
Heb 'm ook gekregen en gerapporteerd.
11-09-2012, 16:44 door Bitwiper
@SirDice: dank voor jouw uitzoekwerk! Ik verwacht niet dat veel xs4all leden hier in zullen trappen, maar toch...

Overigens had ik ondertussen wel een waarschuwing op https://roundcube.xs4all.nl/ en https://webmail.xs4all.nl/ verwacht, maar kennelijk vindt xs4all dat niet nodig. Jammer.
11-09-2012, 17:12 door SirDice
Door Bitwiper: Ik verwacht niet dat veel xs4all leden hier in zullen trappen, maar toch...
Nee, dat verwacht ik ook niet. Maar een gewaarschuwd mens telt voor twee ;-)
11-09-2012, 19:21 door Anoniem

Return-Path: <no-reply@xs4all.nl>
Received: from smtp-vbr9.xs4all.nl (smtp-vbr9.xs4all.nl [194.109.24.29])
by mxdrop235.xs4all.nl (8.13.8/8.13.8) with ESMTP id q8B9Itac044123;
Tue, 11 Sep 2012 11:18:55 +0200 (CEST)
(envelope-from no-reply@xs4all.nl)
Received: from [10.200.1.137] ([91.238.215.121])
(authenticated bits=0)
by smtp-vbr9.xs4all.nl (8.13.8/8.13.8) with ESMTP id q8B9I5q7076357
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO);
Tue, 11 Sep 2012 11:18:25 +0200 (CEST)
(envelope-from no-reply@xs4all.nl)
Message-Id: <201209110918.q8B9I5q7076357@smtp-vbr9.xs4all.nl>
Content-Type: multipart/alternative; boundary="===============0912523881=="
MIME-Version: 1.0
Subject: *WAARSCHUWING*
To: user <no-reply@xs4all.nl>
From: "XS4ALL" <no-reply@xs4all.nl>
Date: Tue, 11 Sep 2012 11:18:22 +0200
X-Virus-Scanned: by XS4ALL Virus Scanner
X-CNFS-Analysis: v=2.0 cv=JstGWrEC c=1 sm=0 p=REpx8nTyVMIDoRgpXh9t0A==:17
p=7XQ252yMAAAA:20 p=C1eF_OK0F8C9gRQFF7IA:9 a=dp2tpx0C95kA:10
a=vmxb_AAL02DGvz8ZGhsA:9 a=wPNLvfGTeEIA:10 a=KXuLW65_DLEA:10
a=_W_S_7VecoQA:10 a=BmeX4CHJsAFjnMmTg41qqw==:117
X-XS4ALL-Spam-Score: 3.7 (***) ALL_TRUSTED, CMAE_1, T_CMAE_1_MD
X-XS4ALL-Spam: NO
Misschien is dit nog handig ;)
11-09-2012, 19:26 door Anoniem
Echt... Alleen al het taalgebruik...
Het is niet eens de moeite van het lezen waard!
Welke sukkel gaat hier sereneus op in???
11-09-2012, 23:57 door Bitwiper
De Google spreadsheet is er nog (ik heb ook even op "report abuse" gedrukt onderaan de pagina).

http://tinyurl.com/xs4all-online-verification stuurt je niet meer door, maar toont een eigen pagina waarin staat dat misbruik is genaakt van de tinyurl service.

Opmerkelijk is dat ik (via m'n xs4all ADSL aansluiting) http://sites.internet.lu/ niet meer kan bereiken. Het lijkt er sterk op dat xs4all die hele site heeft geblacklist:
Tracing route to sites.internet.lu [195.218.0.96]
over a maximum of 30 hops:

1 <1 ms <1 ms <1 ms Intern x.x.x.x
2 1 ms 1 ms 1 ms xs4all x.x.x.x
3 17 ms 17 ms 17 ms lo1.dr6.d12.xs4all.net [194.109.5.213]
4 * * * Request timed out.
5 * * * Request timed out.
6 etc.
De site lijkt namelijk gewoon nog in de lucht: https://isc.sans.edu/tools/sitecheck.html meldt namelijk over http://sites.internet.lu/:
Page loaded in 2 seconds.
Page size: 27749 Bytes
Status Code: 200
Final URL: http://sites.internet.lu
(volgens https://isc.sans.edu/tools/dnscheck.html resolvt sites.internet.lu ook in 195.218.0.96, dus xs4all stuurt me niet het bos in via een onjuiste DNS reply).

Nb. ook als ik via wwwproxy.xs4all.nl naar http://sites.internet.lu/ surf krijg ik geen antwoord.

Wel een erg radicale actie van xs4all, temeer daar de pagina http://sites.internet.lu/folders/chuithalbe/xs4all.html ook op dit moment een 404 teruggeeft, aldus http://jsunpack.jeek.org/?report=8e58f67b01a673ba46619338e15e5189117d4126 (zojuist gecheckt).

Dat https://www.virustotal.com/url/5ac411d389c2affd51c21e1f9c746ff51261a2447f1fc1be837ab74241a2b6b2/analysis/1347398898/ nog malware aangeeft lijkt me dan ook onjuist in dit geval. Hoewel er op die site meerdere pagina's gehacked kunnen zijn lijkt dat niet het geval (zie de blacklists waar http://www.robtex.com/dns/sites.internet.lu.html#result naar verwijst).

Aanvulling: ik hoop dat "Apache/1.3.29" (uit 2003), zoals te zien is in http://jsunpack.jeek.org/?report=8e58f67b01a673ba46619338e15e5189117d4126, gespoofed wordt door sites.internet.lu.

Aanvulling #2: tracerts vanaf mijn xs4all aansluiting naar zowel 195.218.0.95 als naar 195.218.0.97 lopen wel "door" na hop 3, 195.218.0.96 is dus duidelijk geblacklist door xs4all.
12-09-2012, 11:18 door SirDice
Is er nog een truukje om die spreadsheet boven water te krijgen? Ik heb al wat zitten zoeken maar voor zover ik kan vinden moet de sheet perse "openbaar" gemaakt zijn om het in te kunnen zien. Als dat niet het geval is kan alleen de eigenaar de sheet zelf bekijken.
12-09-2012, 12:51 door Bitwiper
Door SirDice: Is er nog een truukje om die spreadsheet boven water te krijgen? Ik heb al wat zitten zoeken maar voor zover ik kan vinden moet de sheet perse "openbaar" gemaakt zijn om het in te kunnen zien. Als dat niet het geval is kan alleen de eigenaar de sheet zelf bekijken.
In de pagina zaken als
<link href='/static/spreadsheets/client/css/779923916-published_form_compiled.css'
type='text/css' rel='stylesheet'>
geven hier weinig hoop op vrees ik. Ik moet toegeven dat ik nauwelijks ervaring heb met Google docs, maar stel me zo voor dat Google dit wel redelijk zal hebben dichtgetimmerd.

Wel een slechte zaak dat deze phishing pagina,ondanks onze klachten erover, gewoon nog online staat bij Google.
13-09-2012, 10:54 door SirDice
En nog een keer:

Geachte klant:

Als onderdeel van onze veiligheidsmaatregelen, wij regelmatig het scherm activiteit in de XS4ALL
Internet diensten. We hebben onlangs contact met u na het opmerken van een probleem op uw
account. We gevraagde informatie van u om de volgende redenen:

Ons systeem moet verder rekening verification.To herstellen van uw account, vul de benodigde
informatie in zodat wij uw account bij te werken. Als we de juiste account verificatie geen binnen 48
uur uw Xs4All zal rekening worden geschorst door de beheerder.

Update uw account: HIER

Vergeet niet, is Xs4All hecht waarde aan uw veiligheid en bescherming. Voor meer informatie, neem
een kijkje op onze Informatie sectie Beveiliging onder Privacy en Veiligheid op de website.

Link verwijst naar http://the-dutch-touch.com/xs4all.nl/login.htm
De eigenaar is op de hoogte gebracht.
13-09-2012, 11:29 door 0101
Ik heb een userscriptje gemaakt dat het Google Docs formulier volspamt met willekeurige data, zodat de phishers er niets meer aan hebben. Wie helpt mee?


(Instructie: in Greasemonkey / Scriptish een nieuw userscript aanmaken, deze code plakken en naar het phishingformulier toegaan. De rest is automatisch.)
// ==UserScript==
// @name Google Docs phishing formulier volspammen
// @include https://docs.google.com/spreadsheet/viewform?formkey=dGdrVWRqNG5FZkg4ME1uWGRDcGVXVWc6MQ
// @include https://docs.google.com/spreadsheet/formResponse?formkey=dGdrVWRqNG5FZkg4ME1uWGRDcGVXVWc6MQ&ifq
// @run-at document-end
// ==/UserScript==
if(location.href==="https://docs.google.com/spreadsheet/formResponse?formkey=dGdrVWRqNG5FZkg4ME1uWGRDcGVXVWc6MQ&ifq"){history.back()}else{
/**
@name chars
@type string
@description chars to use for generating a random login / pass
*/
var chars='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ234567890_-';

/**
@name rand
@param min - the minimum random number to return
@param max - the maximum random number to return
@description returns a random number between @param 1 and @param 2
*/
function rand(min,max){
var max=max-min;
return Math.floor(Math.random()*(max+1))+min;
}

/**
@name getEmail
@parmam length OPTIONAL - the length of the random e-mail
@description
generate a random email adress ending with one of the mailinator domains.
*/
function getRandomStr(length){
var strOutput='';
if(!length) length=rand(5,36);


for(var i=0;i<length;i++){
strOutput+=chars[rand(0,chars.length-1)];
}

return strOutput
}

document.getElementById('entry_0').value=getRandomStr();

var pass=getRandomStr(rand(6,50));

document.getElementById('entry_2').value=pass;

document.getElementById('entry_1').value=pass;

document.getElementById('ss-form').submit();
}

P.S., ik weet dat de code een beetje slordig is en het commentaar soms niet klopt; dat is omdat het gebaseerd is op een ander script van me.
13-09-2012, 11:32 door SirDice
Door 0101: Ik heb een userscriptje gemaakt dat het Google Docs formulier volspamt met willekeurige data, zodat de phishers er niets meer aan hebben. Wie helpt mee?
Geweldig!
13-09-2012, 11:48 door SirDice
Ondertussen probeer ik Google wakker te schudden maar, zoals gebruikelijk, word je weer eens met een kluitje het riet in gestuurd. Maar ik hou vol!

On Google docs there's a phishing site being hosted.

https://docs.google.com/spreadsheet/viewform?formkey=dGdrVWRqNG5FZkg4ME1uWGRDcGVXVWc6MQ

It's being used in a phishing expedition attacking XS4ALL (Dutch ISP)
customers. Clicking on the "Report Abuse" button doesn't seem to help,
after two days of clicking the site is still up and running.

To protect my fellow XS4ALL customers I humbly ask you to take that site
off-line a.s.a.p.

Your sincerely,

<naam>

En dan de reactie:

Hello,

We understand the urgent nature of your message and recommend that you visit the Gmail Privacy & Security Help Center at https://mail.google.com/support/bin/topic.py?topic=12784 for immediate assistance.

If you'd like to report a Gmail user who has sent messages that violate the Gmail Program Policies and/or Terms of Use, please fill out a report form at http://mail.google.com/support/bin/request.py?contact_type=abuse_phishing.
We'll investigate your report and may send a warning or discontinue Gmail service for users who violate our policies.

If your issue is not related to abuse, please visit our Help Center at http://mail.google.com/support/ or click 'Help' at the top of any Gmail page for troubleshooting tips.

Sincerely,

The Google Team

*********

This message was sent from a notification-only email address that does not
accept incoming email. Please do not reply to this message.

Dus, daar maar weer op reageren:

This is not helpful at all. There's nothing for me to report on any of the pages you are referring me to.

Normally an abuse@ email address is exactly the right place to report issues like this. Why is this different for Google?

Sincerely,

<naam>

13-09-2012, 15:59 door 0101
Het formulier is inmiddels geblokkeerd door Google:
{Google logo} Google Drive

Het spijt ons. U heeft geen toegang tot dit document, omdat het niet voldoet aan onze Servicevoorwaarden.

Meer informatie over dit onderwerp vindt u in het Helpcentrum voor Google Documenten.
13-09-2012, 16:35 door SirDice
Ah, mooi. Ik heb uiteindelijk maar gevraagd aan XS4ALL of ze actie wilde ondernemen omdat ik bij Google alleen maar tegen blinde muren aanliep.

Die laatste link (the-dutch-touch.com) is inmiddels ook off-line. De eigenaar reageerde niet, dus maar contact opgenomen met de hoster. Die heeft netjes z'n werk gedaan.
17-09-2012, 19:21 door martin149
Vandaag kreeg ik deze weer:

We hebben problemen in onze database met betrekking tot uw account,
meldt u zich aan bij uw account te verifiëren.
KLIK HIER --> http://sites.internet.lu/folders/xs4all/adminupdate.html

Customer Service

technische ondersteuning
XS4ALL online

Het formulier op deze pagina wordt verstuurd naar "http://diogooliveira.com.br/blog/wp-content/plugins/xs4all.php" en deze is nog wel online. De site zelf kon ik niet meer bij, enkel via het tor netwerk.
02-10-2012, 15:15 door SirDice
Nog maar een keertje...


We hebben problemen in onze database met betrekking tot uw account,
meldt u zich aan bij uw account te verifiëren.

KLIK HIER --> http://tiny.cc/xs4all-web-update

Customer Service

technische ondersteuning
XS4ALL online

Tiny link verwijst naar http://homepage.internet.lu/weber.guy/xs4allup.html (mooie kopie van de webmail pagina)

Zowel tiny.cc als internet.lu op de hoogte gebracht.

Reactie van tiny:

Thank you.
Fucking link is echter nog steeds actief.
02-10-2012, 16:40 door SirDice
Duurt even maar Tiny geeft nu:
The user that created the link /xs4all-web-update has added some public access restrictions to it...
So sorry, but we aren't allowed to let you visit that page.

Die internet.lu site is echter nog steeds actief :(
02-10-2012, 17:03 door Anoniem
ik heb met eigen handen de gehackte site http://spartanbookclub.com/ ook uit de lucht gehaald door het systeem te hacken en de xs4all ed scripts te verwijderen. Er stonden meerdere van deze phishingdingen op. Maar die werken niet meer :)
03-10-2012, 08:45 door Anoniem
Die internet.lu website post de ingevoerde account gegevens volgens de source naar http://diogooliveira.com.br/blog/wp-content/plugins/xs4all.php
Ziet er uit dat iemand een blog vergeten is dicht te timmeren / patchen en dat wordt nu misbruikt.
03-10-2012, 12:21 door SirDice
Opvallend dat ze bijna allemaal naar dezelfde host and scripts posten.
03-10-2012, 13:35 door Anoniem

Xs4all Service-upgrade

In onze voortdurende inspanning om uw ervaring van onze diensten te verbeteren,
u geadviseerd om uw account (s) bij te werken.

Meld u aan bij uw account bijwerken

Bedankt voor uw hulp ons beter van dienst u.

Customer Service
Xs4all Online


We hebben problemen in onze database met betrekking tot uw account,
meldt u zich aan bij uw account te verifiëren.

KLIK HIER --> http://tiny.cc/xs4all-update

Customer Service

technische ondersteuning
XS4ALL online


Krijg de bovenstaande varianten al een behoorlijk aantal weken binnen op een xs4all mailadres dat ik voor een domeinnaamregistratie gebruikte als contact adres. Leuk van het ICANN dat ze dit gewoon in de WHOIS laten staan. Is het bij het SIDN nu stukken beter geregeld.

Doorsturen naar abuse@xs4all.nl heeft weinig zin; zo geeft Xs4all zelf aan (wegens de enorme hoeveelheid). Men adviseert dit onder webmail als SPAM te markeren zodat het filter ervan leert. Erg omslachtig als je webmail nooit gebruikt. Helpen doet het overigens ook niet want ze blijven binnenstromen; ze gebruiker telkens gewoon een ander domein, daar zijn ze net niet te stom voor.

Echt intelligent zijn deze figuren ook niet. Alsof mensen na de zoveelste variant op het mailtje wel erin trappen en op de link klikken. Soms erger ik me gruwelijk aan de dwaasheid van deze figuren. Dan krijg ik ineens heel veel zin om even zeer veel energie en moeite te steken in de opsporing van de dwaas achter het mailtje en deze eens goed overhoop te halen.

Maar dan realiseer ik mij dat dit dweilen met de kraan open is en even op del drukken veel minder verspilde moeite is. Dit soort figuren zijn immers alleen succesvol omdat er mensen in hun methodes trappen. Educatie van gewone gebruikers heeft denk ik meer effect.

Jammer dat Xs4all hun spamfilter niet uitbreid met een regel als [ IF CONTENT-MATCH = "problemen" AND "onze database" AND "uw account" AND "verifiëren" THEN REMOVE/SPAM ] of iets specifiekers...
03-10-2012, 13:53 door Security Scene Team
Door SirDice: Opvallend dat ze bijna allemaal naar dezelfde host and scripts posten.

zeer waarschijnlijk is het van de 1 en de zelfde pisher/hacker. deze jaagt zo te zien op verouderde apache versies, om bijv een script injectie uittevoeren. ook is het mogelijk om error logs en access logs te ontwijken dmv apache escape squence injection vulnerability. dus eigenlijk kan de server admin dan niet zien wat er gebeurt is want het word simpel weg niet gelogged.

ik heb een xss gedaan door expect toetevoegen in de GET request. verrassend genoeg werkte het ook nog.
http://postimage.org/image/5pze7yts9/

als het goed is is de pagina nu van de server verdwenen, maar ik heb de source disclosed voor jullie ter analyse.
http://pastebin.com/uD3W7uEk

er waren nog tal van mogelijkheden, zo zijn er exploits verkrijgbaar voor een take-over. zoek maar op apache 1.3.29 (windows os) draaiende.

er gaat NIETS boven de geur van zwetende phisher in de morgen :-D !

leuk Sirdice, laat de phish mails maar komen hoor.
03-10-2012, 13:57 door Security Scene Team
Door Bitwiper:
Door SirDice: Is er nog een truukje om die spreadsheet boven water te krijgen? Ik heb al wat zitten zoeken maar voor zover ik kan vinden moet de sheet perse "openbaar" gemaakt zijn om het in te kunnen zien. Als dat niet het geval is kan alleen de eigenaar de sheet zelf bekijken.
In de pagina zaken als
<link href='/static/spreadsheets/client/css/779923916-published_form_compiled.css'
type='text/css' rel='stylesheet'>
geven hier weinig hoop op vrees ik. Ik moet toegeven dat ik nauwelijks ervaring heb met Google docs, maar stel me zo voor dat Google dit wel redelijk zal hebben dichtgetimmerd.

Wel een slechte zaak dat deze phishing pagina,ondanks onze klachten erover, gewoon nog online staat bij Google.

het zal je verbazen, maar niet dus. ook dit bedrijf is té groot om alles te kunnen bij houden. je kunt er malware hosten als je wil, is in het verleden ook wel gebeurt.
17-10-2012, 16:54 door SirDice
Ze blijven het ook maar proberen...

Geachte XS4ALL.NL Gebruiker:

Uw XS4ALL web-mailbox is overschreden de opslag termijn die is 20GB zoals ingesteld
door de beheerder, u op dit moment draait op 20.9GB,

kunt u niet in staat zijn om te sturen of nieuwe e-mail ontvangen totdat je opnieuw
valideren uw mailbox,

Om opnieuw te valideren uw mailbox klikt u hier
<https://docs.google.com/a/norman.k12.ok.us/spreadsheet/viewform?formkey=dE0zS0N2ZzVGeFBfRlJ3OWlqTU9aM0E6MQ>
:

Dank U
System Administrator
Xs4all.Nl

Google Docs heeft het document al offline gehaald.
22-10-2012, 11:13 door SirDice
Ze zijn maar overgeschakeld op Engels...


Due to scheduled update of our mail server you are required to verify your account by clicking on the verify link below


Verify

Link verwijst naar http://www.digifelis.com/hatim/excel/xs4all.html
22-10-2012, 11:47 door Security Scene Team
Door SirDice: Ze zijn maar overgeschakeld op Engels...


Due to scheduled update of our mail server you are required to verify your account by clicking on the verify link below


Verify

Link verwijst naar http://www.digifelis.com/hatim/excel/xs4all.html

Sirdice, misschien een handige tip voorje tijdens je visser jacht ;)

https://userscripts.org/scripts/show/22955
23-10-2012, 14:45 door SirDice
Door SirDice: Link verwijst naar http://www.digifelis.com/hatim/excel/xs4all.html
Site is inmiddels offline gehaald door de hoster :D
23-10-2012, 14:46 door SirDice
Door Security Scene Team: Sirdice, misschien een handige tip voorje tijdens je visser jacht ;)

https://userscripts.org/scripts/show/22955
Ik zal 'r eens naar kijken. Ziet er wel geinig uit.
23-10-2012, 17:22 door SirDice
Men valt maar weer terug op Google Docs....

Webmail Gebruiker:

Uw mailbox heeft overschreden de limiet die is 20GB zoals ingesteld door de
beheerder,
u op dit moment draait op 20.9GB, kunt u niet in staat zijn om te
sturen of nieuwe
e-mail ontvangen totdat
u opnieuw valideren uw mailbox, Om opnieuw te valideren uw mailbox *KLIK
DAN
HIER*<https://docs.google.com/a/norman.k12.ok.us/spreadsheet/viewform?formkey=dEFIM1llSktJNE9HMGUxb2c4eHJHRGc6MQ>:

Dank U
systeembeheerder
07-12-2012, 11:29 door Anoniem
Beste gebruiker,


Als gevolg van bezorgdheid en de veiligheid van uw e-mailaccount hebben we uitgegeven dit waarschuwing.

U Hebt 1 Nieuw Veiligheid Bericht Alarm!

Klik op de link hieronder om te lezen.

http://turbosocks.com/xs4all.nl/login.html

Klik hier om door te gaan
© 2012 xs4all


Return-Path: <abuse@xs4all.nl>
Received: from smtp-vbr14.xs4all.nl (smtp-vbr14.xs4all.nl [194.109.24.34])
by mxdrop215.xs4all.nl (8.13.8/8.13.8) with ESMTP id qB794nls024358;
Fri, 7 Dec 2012 10:04:50 +0100 (CET)
(envelope-from abuse@xs4all.nl)
Received: from xs4all.nl ([79.132.4.0])
(authenticated bits=0)
by smtp-vbr14.xs4all.nl (8.13.8/8.13.8) with ESMTP id qB794VUU095677
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO);
Fri, 7 Dec 2012 10:04:32 +0100 (CET)
(envelope-from abuse@xs4all.nl)
Message-Id: <201212070904.qB794VUU095677@smtp-vbr14.xs4all.nl>
From: "XS4ALL"<abuse@xs4all.nl>
Subject: U Hebt 1 Nieuw Veiligheid Bericht Alarm!
Date: Fri, 7 Dec 2012 09:03:48 -0000
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: avast! (VPS 121201-1, 01.12.2012), Outbound message
X-Antivirus-Status: Clean
X-Virus-Scanned: by XS4ALL Virus Scanner
To: undisclosed-recipients:;
X-CNFS-Analysis: v=2.0 cv=L5WqtZv8 c=1 sm=0 p=0P0lgfaWiWYA:10
p=I_kZ2255KhiwuZD4DCsA:9 a=Dyoqhi_TatcA:10 a=Cfj4BQAnxiAA:10
a=4FuHUdX8QB4A:10 a=xOd6jRPJAAAA:8 a=ltPXwdc1AAAA:8 a=Ft8UYL4EG9YA:10
a=_W_S_7VecoQA:10 a=tXsnliwV7b4A:10 a=v3uZLvOKKG4A:10
a=px094Ddi5-3Dty-L:21 a=YrjpLDxwaEaI7ab+74DHFA==:117
X-XS4ALL-Spam-Score: 3.7 (***) ALL_TRUSTED, CMAE_1, T_CMAE_1_MD
X-XS4ALL-Spam: NO
Envelope-To: @xs4all.nl
07-12-2012, 14:54 door Anoniem
Ja die lui zijn slim en XS4ALL helaas niet.
Ze hebben al een XS4ALL account gehacked en prikken hun spam in bij smtp.xs4all.nl met gebruikmaking van die login (daarom staat er authenticated in die received regel maar de bron zit in Bularije).
Helaas helaas helaas kent XS4ALL spam bonuspunten toe aan dit soort logins (ALL_TRUSTED) en dus wordt de mail niet herkend als spam.
Misplaatst vertrouwen, waarom zouden je eigen klanten geen spam sturen en TRUSTED zijn??
07-12-2012, 15:06 door AdVratPatat
Door Anoniem: http://turbosocks.com/xs4all.nl/login.html
Bedankt, geen payload, enkel phishing, gemeld en al geblocked door chrome..
(Go Daddy zelf is altijd traag met dit soort dingen)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.