Читать Всем!, ebayeram, чтоб Вас не хакнули на карты и пассы

  • Автор темы: bay
  • Дата обновления:

bay

Начинающий
B
Сообщения
102
Баллы
0
Местоположение
World Wide Web
http://topsale.boom.ru/antikidala.html

Вот здесь лежит письмо( выложил на сервак, чтоб все видели оригинал) которое я получил типа от [email protected]
Все вроде бы ничего, выглядит как от ибэя, все как положено, но меня насторожило что ничем незаконным я не занимался, и никто кроме меня не заходит на мой акк.
Тут я нажал ресурс кода в The Bat! Чтоб убедиться что это ибэй.
И увидел следующее:


X-Apparently-To: здесь мой адрес@yahoo.com via 206.190.38.221; Mon, 18 Oct 2004 21:55:33 -0700
X-YahooFilteredBulk: 69.31.1.141
X-Originating-IP: [69.31.1.141]
Return-Path: <[email protected]>
Received: from 69.31.1.141 (EHLO fuse1.fusemail.net) (69.31.1.141)
by mta137.mail.re2.yahoo.com with SMTP; Mon, 18 Oct 2004 21:55:33 -0700
Received: from fusemail.com
by fuse1.fusemail.net with asmtp (FuseMail extSMTP)
id 1CJm1p-0002Nx-4L
for мойадрес@yahoo.com; Mon, 18 Oct 2004 23:55:21 -0500
From: "eBay Inc." <[email protected]>
To: "Gotoidea" <ваш адрес@yahoo.com>
Subject: eBay security check: Account accessed by a third party.
Date: Tue, 19 Oct 2004 00:55:29 -0400
Reply-To: "eBay Inc." <[email protected]>
MIME-Version: 1.0
X-Priority: 3 (Normal)
Importance: Normal
X-Mailer: EM: 4.41.0.655
Content-Type: multipart/alternative; boundary="----_PartID_444239329753803"
Content-Length: 2438


Check All Email Accounts Anywhere!
Check your POP3 and webmail account
from any PC. With no ads
http://www.fusemail.com
------_PartID_444239329753803
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable

Анализ:
1. Смотрим стоку X-Originating-IP: и X-Originating-IP:
Она всегда покажет настоящий айпишник, которыый юзал почту свою даже для отправки спами, и даже если он подменил отправителя! ( ну, страну то точно можно узнать, по любому whois сервису,) Whois показал:
OrgTechHandle: INE1-ARIN
OrgTechName: IP Network Engineering
OrgTechPhone: +1-866-447-4662
OrgTechEmail: [email protected]

OrgName: BuddyProfile
OrgID: BUDDY-1
Address: 10712 N Kenwood
City: Kansas City
StateProv: MO
PostalCode: 64155
Country: US

Вот первое док-во , что не ибэй
2. eceived: from 69.31.1.141 (EHLO fuse1.fusemail.net) (69.31.1.141)
by mta137.mail.re2.yahoo.com with SMTP; Mon, 18 Oct 2004 21:55:33
Тут еще написан настоящий домен fuse1.fusemail.net Идем на fusemail.net Батюшки, да это же простой халявный сервак ............вот что это гад юзает. Это было второе доказательство.

3. Ссылка в письме "от ибэя" имеет вид
http://signin.ebay.com/aw-cgi/eBayISAPI.dll?OneTimePayment&ssPageName=h:h:sin:US

Но это только то , что отображает браузер , на самом деле она ведет на страницу http://www.afa.nl/.e/index.html
вот, можете сами нажать и убедиться ( смотрите письмо от ибэй которое я выложил на сервер)=ссылка вверху самом

А выглядит тэг с заменой адреса вот так

</font>
<BR xmlns:x=3D"urn:schemas-microsoft-com:xslt"><BR xmlns:x=3D"urn:schemas-microsoft-com:xslt">

Только пока я писал пост, этот кулхацкер уже удалил почему0-то эту страницу,, либо его удалили........:lol:
А страница выглядела так, как когда регистрируешь акк на ибэй, где карту забить надо.... и пассворды с почтой........

Вот и третье доказательство,

Вобщем, ребята, смотрите внимательно от кого письма приходят, ......
О! забыл, можно даже сделать так, чтоб адрес в адресной строке вы видели ибэевский!!! Тогда совсем лохануться можно,
Главное, смотрите код HTML и жмите почаще F9 В The Bat! Тогда будете работать как сэйфмоуд виндовс.

Если что забыл написать, дополняйте.
 

Nekto

Powerseller
N
Сообщения
1 304
Баллы
0
Местоположение
Ukraine
bay, Примитивнейшое кидалово. Я видел фишинговые письма выполненные куда более корректно.
 

bay

Начинающий
B
Сообщения
102
Баллы
0
Местоположение
World Wide Web
Согласен

Согласен с тобой, Nekto, но это "прожженые инетчики" знают, а есть же и те, кто не знает, = вот для этого и пост.
 

West

Продвинутый
West
Сообщения
331
Баллы
0
Местоположение
Ukraine
bay,
Всеравно большое спасибо :!:
 

oldseller

Powerseller
O
Сообщения
387
Баллы
0
Местоположение
Eastern Ukraine
Да, это стандартный развод был, но лучше всех предупреждать лишний раз. Мне письмо пришло вчера интересней, у меня креда действительно закончилась давно уже, и вот от eBay-suspension пришло письмо о предварительном суспенде, но ссылка была на неизвестную страну, такого плана (не могу дословно, удалил почту): www.ebay.com.ua и дальше все как по-правильному :lol: Вот это серъезней как мне кажется.
 

Nekto

Powerseller
N
Сообщения
1 304
Баллы
0
Местоположение
Ukraine
oldseller, Серьезные подделки приходят прямо на твой почтовик без промежуточных релеев, причем они и реверс для ip с которого отправляют подделывают на нечто вроде mail.ebay.com, и внутри было сделано не плохо - снизу открывался настоящий сайт ebay, а сверху небольшой попап, с просьбой "подтвердить" свой логин/пароль. :lol:
 

mrx

Powerseller
mrx
Сообщения
173
Баллы
0
А мне вот какая херь пришла...

for ***; Sun, 24 Oct 2004 16:04:34 +0800 (KRAST)
Message-Id: ***
Received: from smtp004.bizmail.sc5.yahoo.com (smtp004.bizmail.sc5.yahoo.com [66.163.175.81])
by *** (8.12.9/8.12.9) with SMTP id i9O84WvF048088
for <***>; Sun, 24 Oct 2004 16:04:33 +0800 (KRAST)
Received: from unknown (HELO [email protected]) ([email protected]@203.210.212.250 with login)
by smtp004.bizmail.sc5.yahoo.com with SMTP; 24 Oct 2004 08:04:27 -0000
Reply-To: "[email protected]" <[email protected]>
From: "[email protected]" <[email protected]>
To: <***>
Subject: Unable to verify or authenticate your credit/debit card information on file...
Date: Thu, 28 Feb 2002 17:10:46 -0800
MIME-Version: 1.0
Content-Type: text/html;
charset="us-ascii"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

eBay needs a correct information from you.
[]
eBay requires correct credit card information in full each month on accounts with balances of $1.00 or greater and
if your account becomes past due. We are unable to verify or authenticate your credit/debit card information on file
with us. You have been pre-indefinitely suspended from eBay because credit cards information incorrect (credit card
number, pin, expdate or cvv2 code). If you feel you have been suspended in error or want to appeal this decision by
providing additional information, we offer you the ability to place or change the information you submit to us.
Important: In order to continue buying and selling, you must have a valid account information on file at eBay.
Please update information in your eBay account now by click here and entering the new information yourself in your
account. Or click to this link below :

http://signin.ebay.com/aw-cgi/eBayIASPI.dll?PlaceCCInfo&&UserId=ge4mDtry3sy2328XZe
где реальная ссылка:
http://hostprovide.org/aw-cgi/eBayISAPI.php?SignIn&UsingSSL=1&co_partnerid=2&siteid=0&changeUser=0&pUserId=&pNextPage=&pageType=955&ru=https%3A%2F%2Farribada.ebay.com%2Fsaw-cgi%2FeBayISAPI.dll%3FPlaceCCInfo%26page%3D0%26adult%3D0%26ru%3Ddefault%26BillingAccountType%3Ddefault%26pass%3D%7B_pass_%7D%26fromsyi%3D0%26userid%3D&pp=pass&pa1=&pa2=&pa3=&pa4=&pa5=&pa6=&pa7=&pa8=&pa9=&pa10=&pa11=&pa12=&pa13=&pa14=&i1=0&i2=-1&i3=-1&i4=-1&i5=-1&i6=-1&i7=-1&i8=-1&i9=-1&i10=-1&i11=-1&errmsg=-1&runame=&ruparams=&ruproduct=&bshowgif=0

Per the User Agreement, Section 9, we may immediately issue a warning, temporarily suspend, indefinitely suspend or
terminate your membership and refuse to provide our services to you if we believe that your actions may cause financial
loss or legal liability for you, our users or us. We may also take these actions if we are unable to verify or
authenticate any information you provide to us. Due to the suspension of this account, please be advised you are
prohibited from using eBay in any way. This includes the registering of a new account.
 

Victor

Powerseller
V
Сообщения
22
Баллы
0
Местоположение
USA
Я несколько раз получал письма такого плана

***Urgent Safeharbor Department Notice***

eBay Fraud Mediation Request
Date: Sunday, 14 november 2004

You have recieved this email because you or someone had used your account to make fake bids at eBay. For security purposes, we are required to open an investigation into this matter.

THE FRAUD ALERT ID CODE CONTAINED IN THIS MESSAGE WILL BE ATTACHED IN OUR FRAUD MEDIATION REQUEST FORM, IN ORDER TO VERIFY YOUR EBAY ACCOUNT REGISTRATION INFORMATIONS.

Fraud Alert ID CODE: 00937614
(Please save this Fraud Alert ID Code for your reference.)

To help speed up this process, please access the following form to complete the verification of your eBay account registration informations:

http://scgi.ebay.com/verify_id=ebay &fraud alert id code=00937614

.

Please Note:
If we do not receive the appropriate eBay account verification within 48 hours, then we will assume this eBay account is fraudulent and will be suspended.
The purpose of this verification is to ensure that your eBay account has not been fraudulently used and to combat the fraud from our community.


We appreciate your support and understanding, as we work together to keep eBay a safe place to trade.

Thank you for your patience in this matter.

Regards, Safeharbor Department (Trust and Safety Department)
eBay Inc.

Please do not reply to this e-mail as this is only a notification. Mail sent to this address cannot be answered.



Copyright © 2004 eBay Inc. All Rights Reserved. Designated trademarks and brands are the property of their respective owners. eBay and the eBay logo are trademarks of eBay Inc. eBay is located at 2145 Hamilton Avenue, San Jose, CA 95125.

Несколько раз звонил на еВау -подавал рапорты об этих письмах.
Сейчас к ним уже привык-приходят в неделю по два раза.Препраздниковая активность и у оферистов.
Вчера получил по-прикольней письмо.Оно было с РауРал.Где сообщалось,что новый емаил адрес был успешно внесен в мои активные электронные адреса.Я быстро по ссылкам туда-а там -Если вы считаете ,что это ошибка -заходите и удалите его .Захожу-Натуральный РауРал-выскакивает рамка с надписью,для подтверждения входа необходимо ввести-Ответ на вопрос,который ты при оформлении даёшь,и номер основной карточки или Чекинг аккаунта ,с которымиты зарегестрирован на РауРал.Что-то насторожило-решил зайти через еВау на свой аккаунт.И что-никакого нового емаил адреса нет в моих данных.Вот так насбомбят
 



Live