xxx
Husk, at der kan være forskel på store og små bogstaver i kodeordet

Har du glemt dit kodeord?

NAVIGATION

PROFIL

  • login
  • Har du ikke en profil så kan du oprette en her

SoMe


HJERTE MODTAGERE
Flest hjerter de sidste 14 dage
4
HJERTE MODTAGERE
Flest hjerter 'All Time High'
105
104
SØG I FORUM
FORUM KATEGORIER
Du skal have en profil på macnyt for, at deltage aktivt.
Det er gratis og du kan gøre det her.
Du er ikke logget ind på macnyt. Har du ikke en profil på macnyt så opret en her
Kategori: Frit område til almen diskussion - omtanke er godt (Ordet er frit)
macnyt  /  forum  /  emne
HBO Nordic - ulovlig markedsføring eller phishing?
Kategori: Frit område til almen diskussion - omtanke er godt (Ordet er frit)


1732

96
05. april 2020 @ 08:36
Stormogul
[post_text]
MBP 15" & iPhone 7 Plus - Nomina Rutrum Rutrum!
  28
3
  781

46

0
05. april 2020 @ 08:38
Let øvet

Phishing.

Jeg har tidligere fået mails fra Apple om køb/abonnementer - alle phishing mails.


1732

96
05. april 2020 @ 08:43
Stormogul

Ja, også jeg, men den her er lidt tricky, fordi jeg faktisk forrige uge modtog en mail fra samme HBO Nordic med tilbud om abonnement, en mail som jeg vist nok lavede en unsubscribe på og derefter slettede. Lidt avanceret phishing, ikke?

Og med de givne globale karantæne-forhold for masserne siddende foran tv’et, foreligger det ihvertfald en oplagt phishing-mulighed.

MBP 15" & iPhone 7 Plus - Nomina Rutrum Rutrum!

3175

186
05. april 2020 @ 09:19
Virtual Machine

Det MÅ være phishing, for jeg kan ikke forestille mig, at HBO vil sætte deres rennomé over styr, risikere sagsanlæg fra vrede kunder og løftede pegefingre fra Forbrugerombudsmanden.

Det minder i øvrigt ret meget om det phishing-forsøg, som jeg var ved at falde for, da jeg ud af det blå blev lykønsket med mit køb af et svensk-kursus hos sprogfirmaet Babbel.

Jeg kontaktede så firmaets sikkerhedsansafdeling, som endnu ikke kendte til phishing-forsøget, og de tog sig efterfølgende af sagen. Fik efterfølgende ikke flere mails om tilsyneladende købte sprog-kurser.

Link til Macnyt-tråden om Babbel phishing-forsøget: Klik.


1732

96
05. april 2020 @ 09:38
Stormogul
Tonny Freimanis skrev:

Det MÅ være phishing, for jeg kan ikke forestille mig, at HBO vil sætte deres rennomé over styr, risikere sagsanlæg fra vrede kunder og løftede pegefingre fra Forbrugerombudsmanden.

At HBO Nordic sikkert gerne vil bevare et godt renommé var også en af mine overvejelser.....men: jeg har efterhånden mødt så mange fuldstændig åndssvage (læs: svage i ånden, moralsk fordærvede) unge forretningfolk, at jeg faktisk ikke længere forventer det store fra den kant længere. Overhovedet. Med andre ord: jeg er ved at være derhenne, ja, vel nærmest ankommet, hvor jeg oplever det man kalder "forretningsfolk" som værende det mest dæmoniske, man kan møde i dagligdagen. Jo, der er heldigvis også masser af undtagelser, både i det daglige og internationalt - men der er altså ikke noget som pengebegær, der kan få det værste frem i mennesket.


MBP 15" & iPhone 7 Plus - Nomina Rutrum Rutrum!

3175

186
05. april 2020 @ 10:28
Virtual Machine

Factory, har du overvejet at melde dig på Robinson-listen? Så må du nemlig ikke kontaktes med henblik på salg (Dørsalgsloven).

Telefonsælgere SKAL tjekke, om en person står på Robinson-listen, før de ringer den potentielle kunde op, og de risikerer faktisk en plet på straffe-attesten, hvis de alligevel kontakter en på Robinson-listen.Tilmeldingen foregår på borger dot dk.

Skriv "robinson" (uden anførselstegn) i søgefeltet; så dukker der et link op, hvor man skal vælge sin kommune, før man kan forsætte med tilmeldingen. Man framelder sig i øvrigt også her, hvis man skifter standpunkt (eller holdning).


169

13
05. april 2020 @ 11:49
Novice

Hvis du er i tvivl så kigger du email HEADER, ikke afsender email, jeg kan også nemt sende dig en email der ligner den kommer fra politi.dk, sælgere i dag er pisse ligeglade med robinsonlisten..


Altid kig header hvis du vil se hvem der har sendt til dig.. der har du både korrekt afsender mail samt server IP.. 


Nemmere bliver det ikke


27

0
05. april 2020 @ 20:36
Let øvet

Jeg har læst i et nyhedsmedie for nylig at det er et generelt problem lige nu, med disse phishing mails fra streamingtjenester. De prøver at franarre dig dine oplysninger, så slet mailen hurtigst muligt :-)


169

13
05. april 2020 @ 21:15
Novice
Torleif skrev:

Jeg har læst i et nyhedsmedie for nylig at det er et generelt problem lige nu, med disse phishing mails fra streamingtjenester. De prøver at franarre dig dine oplysninger, så slet mailen hurtigst muligt :-)

Ja og nej, for den dag det er vigtigt og folk bare sletter, så kan det gå galt, så kig nu FAKTA, og med mail er det HEADER..

(Dem der siger andet er dem der ved hvordan man også faker den slags, men så er det en anden snak, og så tager vi den til den tid.)

ved i forresten hvorfor det kun tager 5 min at handle i Fakta ? Tadadadad det er fordi de unge mennesker ikke har hjerne der magter længere tid, og det er jo kommet frem i disse tider :)


200

0
11. april 2020 @ 09:19
Juniormedlem

Hvordan checker man HEADER?

Jeg bruger mac OS's standard mail program. og modtager rimelig tit afpresningsmails, der ser ud til, at de er sendt fra min egen mail-adresse.


1021

105
11. april 2020 @ 09:33
Stormogul

phishing kan ikke i dag omgå nogen check som sådan. du vil altid kunne finde ud af om mailen er sendt fra den sande afsender.

men brugeren magter ikke opgaven og dermed nogle falder for det. en del af skylden ligger sandelig også hos virksomhederne der benytter mail i deres drift, da de ikke udnytter den fulde potentielle mod at nogle misbruger deres brand/domæne.

min mail server laver et hav af checks for at verificere om mail er "oprigtigt" og jeg kan fortælle at eboks.dk og post nord ikke har styr på deres mail system. men begge er nok driftet af KMD så der er vel ikke andet at forvente. eboks har i over et årstid tænkt sig at rette på en basal fejl der gør at mine brugere ikke modtager deres mails. da deres server kalder sig selv "hans" men når man slå dens IP på, så står der "peter" ... min server siger "farvel".

gad vide hvor mange andre der oplever samme fejl for vigtige dokumenter ... :D

det samme med post nord pakke adviseringer.

hvis du gerne vil så kan du tjekke "rå besked data" for at se om mail server der har afsendt mail er godkendt til at sende mails på vegne af hbo nordic. kig efter om der står "fail" nogen steder i det rå data. 

der burde som minimum stå "SPF check failed" eller noget i den dur, hvis der er tale om phishing.


200

0
11. april 2020 @ 09:43
Juniormedlem

helt lavpraktisk : HVORDAN checker man "rå besked data" - eller "header" i Mac OS mail. Jjeg har prøvet at højre-klikke forskellige steder, og kigget i forskellige menuer. Can't find it... 


1021

105
11. april 2020 @ 09:52
Stormogul

ALT+CMD+U

eller under View > Message > Raw Source (bruger ikke dansk sprog kender ikke hvad dette er oversat til)



200

0
11. april 2020 @ 09:58
Juniormedlem

tak :)


200

0
11. april 2020 @ 09:59
Juniormedlem

dobbeltpost


1732

96
11. april 2020 @ 10:07
Stormogul
Nihad skrev: hvis du gerne vil så kan du tjekke "rå besked data" for at se om mail server der har afsendt mail er godkendt til at sende mails på vegne af hbo nordic. kig efter om der står "fail" nogen steder i det rå data. Der burde som minimum stå "SPF check failed" eller noget i den dur, hvis der er tale om phishing.

Tak for dette og den medfølgende kommando ALT+CMD+U.

Imidlertid dukker der ved brug af ALT+CMD+U en temmelig lang kildekode op, så det kunne være rart at vide, hvor deri, at man skal søge efter SPF check. Jeg har gennemgået en enkelt mail sendt fra Forbrugsforeningen (som altså er i orden), og her står der flg. (blabla er udeladt tekst):

Delivered-To: blabla

Received: blabla

X-Google-Smtp-Source: blabla

X-Received: blabla

ARC-Seal: blabla

ARC-Message-Signature: blabla

ARC-Authentication-Results: blabla spf=pass blabla

Return-Path: blabla

Received: blabla

Received-SPF: pass blabla

blablablablablablablablablablablabla

- så jeg går ud fra, at ovenstående to eksempler med fed skrift er det, man skal se efter?

MBP 15" & iPhone 7 Plus - Nomina Rutrum Rutrum!

1021

105
11. april 2020 @ 10:19
Stormogul

du har fjernet alt for meget til at man kan konkludere noget. men hvis afsender stemmer flere steder i koden og afsender mail server har noget med hbo nordic at gøre, dvs. navnet hob nordic fremgå... så burde det være ægte...

prøv evt. https://mxtoolbox.com/EmailHeaders.aspx

indsæt raw data og indsend dem til analyse... der burde laves en tjek for om der er fejl i opsætning og/eller spam/phising forsøg. den vil nok ikke sige "spam/phishing" men den skal nok vise rødt når noget ikke stemmer som forventet.

1021

105
11. april 2020 @ 10:23
Stormogul

hvis du gerne vil så er du også velkommen til at sende mig raw data i en txt fil så kan jeg køre det gennem min server og se hvad den siger.

men husk data skal være vedhæftet fil som txt ... 

test_min_besked@ se resten i min signatur. :D


1732

96
11. april 2020 @ 13:30
Stormogul

Tak for tilbuddet om at sende raw data til dig, men sagen er jo netop, at jeg gerne selv vil lære, hvordan man gør dette her. Mit spørgsmål er derfor først og fremmest, hvor langt ned fra starten af mailens kildekolde, at header løber. For så vidt jeg kan se, er det ikke så nemt lige at gennemskue som fx i HTML, al den stund der ikke er noget egentlig header-tag - eller hür?

MBP 15" & iPhone 7 Plus - Nomina Rutrum Rutrum!

1021

105
11. april 2020 @ 19:38
Stormogul

det er helt i orden. 

headers har altid nedenstående format

Navn-På-Header: indhold af header; der kan nogle gange være flere værdier separeret med semikolon; linje skift er altid afbrudt med "linje skift" koden, som på computeren er carrier return tegn (CR)

Content-Type: text/html;    charset="windows-1252"Content-Transfer-Encoding: quoted-printable<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.=w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
her kan du se, at header slutter med Content-Transfer-Encoding header. men det er ikke nødvendigvis der alle mail header slutter.

1732

96
11. april 2020 @ 21:25
Stormogul

Jo, jeg kender HTML, bruger det til mine websites sammen med CSS, men jeg ser slet ikke noget HTML-kode i de email-koder, som jeg får frem med ALT-COM-U - så jeg tror vi måske misforstår hinanden her?

MBP 15" & iPhone 7 Plus - Nomina Rutrum Rutrum!

1021

105
11. april 2020 @ 23:42
Stormogul

det kan være det er vedhæftet fil, for så er den konverteret til BASE64 og det ser ud som om det er tilfældige tegn i en fast bredde? 

U8OlIGxpZ25lciBkZXQgc8OlZGFuIG5vZ2V0IHRla3N0Pw0K



1732

96
13. april 2020 @ 14:53
Stormogul

Tak for idéen, men nu er mailen blevet slettet for efterhånden nogle dage siden, så jeg kan ikke checke nogetsomhelst mere, må således vente til næste gang, der er phishing   Håber jeg kan vende tilbage på sagen - for de skal jo nok forsøge igen...

MBP 15" & iPhone 7 Plus - Nomina Rutrum Rutrum!

1021

105
13. april 2020 @ 16:53
Stormogul

det kan du rolig gøre. jeg er også spændt på at lære noget nyt. og om det kan hjælpe mig forstå nyt fremgangsmåde så er det win-win for begge.


1732

96
14. april 2020 @ 16:15
Stormogul

Så kom "chancen"   

Fik idag en mail fra nogen, der kalder sig SKAT - med et fint tilbud iøvrigt. Nederst i headeren (altså før selve beskeden starter) står der i koden flg.:

spf=pass (mx3.XXX.dk: domain of bounces@fwdkim.evubytopnure.com designates 167.89.33.214 as permitted sender) smtp.mailfrom=bounces@fwdkim.evubytopnure.com

Går ud fra, at det er her man kan se, hvem afsenderen/skurken er...

MBP 15" & iPhone 7 Plus - Nomina Rutrum Rutrum!

3175

186
14. april 2020 @ 17:18
Virtual Machine
Factory skrev:

Så kom "chancen"   

Fik idag en mail fra nogen, der kalder sig SKAT - med et fint tilbud iøvrigt. Nederst i headeren (altså før selve beskeden starter) står der i koden flg.:

spf=pass (mx3.XXX.dk: domain of bounces@fwdkim.evubytopnure.com designates 167.89.33.214 as permitted sender) smtp.mailfrom=bounces@fwdkim.evubytopnure.com

Går ud fra, at det er her man kan se, hvem afsenderen/skurken er...

Nå, skal du OGSÅ have 3.480,60 Kr. tilbage men først lige opdatere din konto via det vedlagte link? :0)

(Frit efter hukommelsen; jeg HAR allerede slettet den). Pudsig afsenderadresse, plus mellemrum før punktum i første sætning, og Skat var blevet transformeret til et udenlandsk (romansk-sproget) offentligt selskab (SA).

Den her var ret let at gennemskue, også fordi de lige er et nummer for sent ude, fordi de fleste danskere vel HAVDE kontrolleret deres skatteopgørelse, og fordi langt de fleste fik udbetalt deres overskydende skat lige før påske.


1021

105
14. april 2020 @ 18:43
Stormogul

er mail kommet fra "skat.dk" eller "sktst.dk" eller står der noget andet i afsender?

den linje fortæller at den IP har fået lov at sende mail på vegne af mx3.xxx.dk. som kan være helt legitimt og korrekt opsat spam server. :D

hvad der gemmer sig bag xxx.dk må du vide. men for mig vil det være tegn på en reklame eller phishing, hvis det er fra skat de udgiver sig at være. den IP adresse tilhører et amerikansk mail marketing firma, sendgrid.com så det kan være nogle firmaer bruger dem, men det vil være underligt for mig hvis skattelettelsen brugte dem.

så hvis din afsender siger @skat.dk eller @sktst.dk og spf=pass så burde det være ægte. da administrator på skat.dk sktst.dk har sat den ip som legitim afsender. og det kan man ikke spoofe sig til som sådan.

169

13
14. april 2020 @ 18:49
Novice

Kæden hoppede jo af allerede ved .com :) Så kan man derefter tage IP og skrive den på google, så vil man som Nihad også har beskrevet finde sjove folk, de er fra Denver :) skat.dk har IKKE et .com domæne :P

Det er ret nemt at spotte den slags, det kræver self man ved hvad man skal kigge efter og HVOR man skal kigge.Prøv at slå IP op her -> https://hackertarget.com/reverse-ip-lookup/ 

https://www.abuseipdb.com/whois/167.89.33.214 - Bemærk de har en abuse mail, så skriver du til dem og fortæller dem at deres system bliver brugt til fusk, du får nok ikke en skid ud af det, men det er da et forsøg værd.

Og nej, man tester ikke vedhæftede filer, heller ikke på egen email server :P man sletter lortet

God påske til jer alle...

Prøv at lav et lookup på freshdesk.com :)



169

13
14. april 2020 @ 19:31
Novice

Powerpalle, kan du ikke fjerne den funktion i din input i WYSIWG som opretter links når man paster et domæne ?

Ikke skide smart den dag folk poster en scam side eller andet bras som kan install div sager :) Folk er jo desværre dumme nok til at trykke på lortet.... 

God påske