Phishing.
Jeg har tidligere fået mails fra Apple om køb/abonnementer - alle phishing mails.
Ja, også jeg, men den her er lidt tricky, fordi jeg faktisk forrige uge modtog en mail fra samme HBO Nordic med tilbud om abonnement, en mail som jeg vist nok lavede en unsubscribe på og derefter slettede. Lidt avanceret phishing, ikke?
Og med de givne globale karantæne-forhold for masserne siddende foran tv’et, foreligger det ihvertfald en oplagt phishing-mulighed.
Det MÅ være phishing, for jeg kan ikke forestille mig, at HBO vil sætte deres rennomé over styr, risikere sagsanlæg fra vrede kunder og løftede pegefingre fra Forbrugerombudsmanden.
Det minder i øvrigt ret meget om det phishing-forsøg, som jeg var ved at falde for, da jeg ud af det blå blev lykønsket med mit køb af et svensk-kursus hos sprogfirmaet Babbel.
Jeg kontaktede så firmaets sikkerhedsansafdeling, som endnu ikke kendte til phishing-forsøget, og de tog sig efterfølgende af sagen. Fik efterfølgende ikke flere mails om tilsyneladende købte sprog-kurser.
Link til Macnyt-tråden om Babbel phishing-forsøget: Klik.
Tonny Freimanis skrev:Det MÅ være phishing, for jeg kan ikke forestille mig, at HBO vil sætte deres rennomé over styr, risikere sagsanlæg fra vrede kunder og løftede pegefingre fra Forbrugerombudsmanden.
At HBO Nordic sikkert gerne vil bevare et godt renommé var også en af mine overvejelser.....men: jeg har efterhånden mødt så mange fuldstændig åndssvage (læs: svage i ånden, moralsk fordærvede) unge forretningfolk, at jeg faktisk ikke længere forventer det store fra den kant længere. Overhovedet. Med andre ord: jeg er ved at være derhenne, ja, vel nærmest ankommet, hvor jeg oplever det man kalder "forretningsfolk" som værende det mest dæmoniske, man kan møde i dagligdagen. Jo, der er heldigvis også masser af undtagelser, både i det daglige og internationalt - men der er altså ikke noget som pengebegær, der kan få det værste frem i mennesket.
Factory, har du overvejet at melde dig på Robinson-listen? Så må du nemlig ikke kontaktes med henblik på salg (Dørsalgsloven).
Telefonsælgere SKAL tjekke, om en person står på Robinson-listen, før de ringer den potentielle kunde op, og de risikerer faktisk en plet på straffe-attesten, hvis de alligevel kontakter en på Robinson-listen.Tilmeldingen foregår på borger dot dk.
Skriv "robinson" (uden anførselstegn) i søgefeltet; så dukker der et link op, hvor man skal vælge sin kommune, før man kan forsætte med tilmeldingen. Man framelder sig i øvrigt også her, hvis man skifter standpunkt (eller holdning).
Hvis du er i tvivl så kigger du email HEADER, ikke afsender email, jeg kan også nemt sende dig en email der ligner den kommer fra politi.dk, sælgere i dag er pisse ligeglade med robinsonlisten..
Altid kig header hvis du vil se hvem der har sendt til dig.. der har du både korrekt afsender mail samt server IP..
Nemmere bliver det ikke
Jeg har læst i et nyhedsmedie for nylig at det er et generelt problem lige nu, med disse phishing mails fra streamingtjenester. De prøver at franarre dig dine oplysninger, så slet mailen hurtigst muligt :-)
Torleif skrev:Jeg har læst i et nyhedsmedie for nylig at det er et generelt problem lige nu, med disse phishing mails fra streamingtjenester. De prøver at franarre dig dine oplysninger, så slet mailen hurtigst muligt :-)
Ja og nej, for den dag det er vigtigt og folk bare sletter, så kan det gå galt, så kig nu FAKTA, og med mail er det HEADER..
(Dem der siger andet er dem der ved hvordan man også faker den slags, men så er det en anden snak, og så tager vi den til den tid.)
ved i forresten hvorfor det kun tager 5 min at handle i Fakta ? Tadadadad det er fordi de unge mennesker ikke har hjerne der magter længere tid, og det er jo kommet frem i disse tider :)
Hvordan checker man HEADER?
Jeg bruger mac OS's standard mail program. og modtager rimelig tit afpresningsmails, der ser ud til, at de er sendt fra min egen mail-adresse.
phishing kan ikke i dag omgå nogen check som sådan. du vil altid kunne finde ud af om mailen er sendt fra den sande afsender.
men brugeren magter ikke opgaven og dermed nogle falder for det. en del af skylden ligger sandelig også hos virksomhederne der benytter mail i deres drift, da de ikke udnytter den fulde potentielle mod at nogle misbruger deres brand/domæne.
min mail server laver et hav af checks for at verificere om mail er "oprigtigt" og jeg kan fortælle at eboks.dk og post nord ikke har styr på deres mail system. men begge er nok driftet af KMD så der er vel ikke andet at forvente. eboks har i over et årstid tænkt sig at rette på en basal fejl der gør at mine brugere ikke modtager deres mails. da deres server kalder sig selv "hans" men når man slå dens IP på, så står der "peter" ... min server siger "farvel".
gad vide hvor mange andre der oplever samme fejl for vigtige dokumenter ... :D
det samme med post nord pakke adviseringer.
hvis du gerne vil så kan du tjekke "rå besked data" for at se om mail server der har afsendt mail er godkendt til at sende mails på vegne af hbo nordic. kig efter om der står "fail" nogen steder i det rå data.
der burde som minimum stå "SPF check failed" eller noget i den dur, hvis der er tale om phishing.
helt lavpraktisk : HVORDAN checker man "rå besked data" - eller "header" i Mac OS mail. Jjeg har prøvet at højre-klikke forskellige steder, og kigget i forskellige menuer. Can't find it...
ALT+CMD+U
eller under View > Message > Raw Source (bruger ikke dansk sprog kender ikke hvad dette er oversat til)
tak :)
dobbeltpost
Nihad skrev: hvis du gerne vil så kan du tjekke "rå besked data" for at se om mail server der har afsendt mail er godkendt til at sende mails på vegne af hbo nordic. kig efter om der står "fail" nogen steder i det rå data. Der burde som minimum stå "SPF check failed" eller noget i den dur, hvis der er tale om phishing.
Tak for dette og den medfølgende kommando ALT+CMD+U.
Imidlertid dukker der ved brug af ALT+CMD+U en temmelig lang kildekode op, så det kunne være rart at vide, hvor deri, at man skal søge efter SPF check. Jeg har gennemgået en enkelt mail sendt fra Forbrugsforeningen (som altså er i orden), og her står der flg. (blabla er udeladt tekst):
Delivered-To: blabla
Received: blabla
X-Google-Smtp-Source: blabla
X-Received: blabla
ARC-Seal: blabla
ARC-Message-Signature: blabla
ARC-Authentication-Results: blabla spf=pass blabla
Return-Path: blabla
Received: blabla
Received-SPF: pass blabla
blablablablablablablablablablablabla
- så jeg går ud fra, at ovenstående to eksempler med fed skrift er det, man skal se efter?
du har fjernet alt for meget til at man kan konkludere noget. men hvis afsender stemmer flere steder i koden og afsender mail server har noget med hbo nordic at gøre, dvs. navnet hob nordic fremgå... så burde det være ægte...
prøv evt. https://mxtoolbox.com/EmailHeaders.aspx
indsæt raw data og indsend dem til analyse... der burde laves en tjek for om der er fejl i opsætning og/eller spam/phising forsøg. den vil nok ikke sige "spam/phishing" men den skal nok vise rødt når noget ikke stemmer som forventet.hvis du gerne vil så er du også velkommen til at sende mig raw data i en txt fil så kan jeg køre det gennem min server og se hvad den siger.
men husk data skal være vedhæftet fil som txt ...
test_min_besked@ se resten i min signatur. :D
Tak for tilbuddet om at sende raw data til dig, men sagen er jo netop, at jeg gerne selv vil lære, hvordan man gør dette her. Mit spørgsmål er derfor først og fremmest, hvor langt ned fra starten af mailens kildekolde, at header løber. For så vidt jeg kan se, er det ikke så nemt lige at gennemskue som fx i HTML, al den stund der ikke er noget egentlig header-tag - eller hür?
det er helt i orden.
headers har altid nedenstående format
Navn-På-Header: indhold af header; der kan nogle gange være flere værdier separeret med semikolon; linje skift er altid afbrudt med "linje skift" koden, som på computeren er carrier return tegn (CR)
Content-Type: text/html; charset="windows-1252"Content-Transfer-Encoding: quoted-printable<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.=w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">her kan du se, at header slutter med Content-Transfer-Encoding header. men det er ikke nødvendigvis der alle mail header slutter.
Jo, jeg kender HTML, bruger det til mine websites sammen med CSS, men jeg ser slet ikke noget HTML-kode i de email-koder, som jeg får frem med ALT-COM-U - så jeg tror vi måske misforstår hinanden her?
det kan være det er vedhæftet fil, for så er den konverteret til BASE64 og det ser ud som om det er tilfældige tegn i en fast bredde?
U8OlIGxpZ25lciBkZXQgc8OlZGFuIG5vZ2V0IHRla3N0Pw0K
Tak for idéen, men nu er mailen blevet slettet for efterhånden nogle dage siden, så jeg kan ikke checke nogetsomhelst mere, må således vente til næste gang, der er phishing Håber jeg kan vende tilbage på sagen - for de skal jo nok forsøge igen...
det kan du rolig gøre. jeg er også spændt på at lære noget nyt. og om det kan hjælpe mig forstå nyt fremgangsmåde så er det win-win for begge.
Så kom "chancen"
Fik idag en mail fra nogen, der kalder sig SKAT - med et fint tilbud iøvrigt. Nederst i headeren (altså før selve beskeden starter) står der i koden flg.:
spf=pass (mx3.XXX.dk: domain of bounces@fwdkim.evubytopnure.com designates 167.89.33.214 as permitted sender) smtp.mailfrom=bounces@fwdkim.evubytopnure.com
Går ud fra, at det er her man kan se, hvem afsenderen/skurken er...
Factory skrev:Så kom "chancen"
Fik idag en mail fra nogen, der kalder sig SKAT - med et fint tilbud iøvrigt. Nederst i headeren (altså før selve beskeden starter) står der i koden flg.:
spf=pass (mx3.XXX.dk: domain of bounces@fwdkim.evubytopnure.com designates 167.89.33.214 as permitted sender) smtp.mailfrom=bounces@fwdkim.evubytopnure.comGår ud fra, at det er her man kan se, hvem afsenderen/skurken er...
Nå, skal du OGSÅ have 3.480,60 Kr. tilbage men først lige opdatere din konto via det vedlagte link? :0)
(Frit efter hukommelsen; jeg HAR allerede slettet den). Pudsig afsenderadresse, plus mellemrum før punktum i første sætning, og Skat var blevet transformeret til et udenlandsk (romansk-sproget) offentligt selskab (SA).
Den her var ret let at gennemskue, også fordi de lige er et nummer for sent ude, fordi de fleste danskere vel HAVDE kontrolleret deres skatteopgørelse, og fordi langt de fleste fik udbetalt deres overskydende skat lige før påske.
er mail kommet fra "skat.dk" eller "sktst.dk" eller står der noget andet i afsender?
den linje fortæller at den IP har fået lov at sende mail på vegne af mx3.xxx.dk. som kan være helt legitimt og korrekt opsat spam server. :D
hvad der gemmer sig bag xxx.dk må du vide. men for mig vil det være tegn på en reklame eller phishing, hvis det er fra skat de udgiver sig at være. den IP adresse tilhører et amerikansk mail marketing firma, sendgrid.com så det kan være nogle firmaer bruger dem, men det vil være underligt for mig hvis skattelettelsen brugte dem.
så hvis din afsender siger @skat.dk eller @sktst.dk og spf=pass så burde det være ægte. da administrator på skat.dk sktst.dk har sat den ip som legitim afsender. og det kan man ikke spoofe sig til som sådan.Kæden hoppede jo af allerede ved .com :) Så kan man derefter tage IP og skrive den på google, så vil man som Nihad også har beskrevet finde sjove folk, de er fra Denver :) skat.dk har IKKE et .com domæne :P
Det er ret nemt at spotte den slags, det kræver self man ved hvad man skal kigge efter og HVOR man skal kigge.Prøv at slå IP op her -> https://hackertarget.com/reverse-ip-lookup/
https://www.abuseipdb.com/whois/167.89.33.214 - Bemærk de har en abuse mail, så skriver du til dem og fortæller dem at deres system bliver brugt til fusk, du får nok ikke en skid ud af det, men det er da et forsøg værd.
Og nej, man tester ikke vedhæftede filer, heller ikke på egen email server :P man sletter lortet
God påske til jer alle...
Prøv at lav et lookup på freshdesk.com :)
Powerpalle, kan du ikke fjerne den funktion i din input i WYSIWG som opretter links når man paster et domæne ?
Ikke skide smart den dag folk poster en scam side eller andet bras som kan install div sager :) Folk er jo desværre dumme nok til at trykke på lortet....
God påske