[caiu] PHISING na lista

[David de Souza]

Não recebi nada disso; digo, nem bloqueado foi. Aparentemente meu
endereço não estava na lista do meliante. Embora usar amostragem nesse
caso não funcione bem, assumo que como não houve muita reclamação é
possível que poucos tenham recebido.

A partir desse ponto seria interessante tentar a engenharia reversa para
saber como os endereços foram parar em uma lista tão restrita já que
pelo visto ela é um subconjunto de uma lista já muito restrita que é
essa nossa.

Qual era o objetivo desse phishing em particular?

Os destinatários operam em algum grupo ou subgrupo identificável
(região, cidade, setor, etc)?

Qual foi o nível de detalhes na falsificação dos headers?




Abraços.



David de Souza
davids em vidi.com.br
-----------------------------------------------

Em 05/01/2017 16:14, Guilherme Boing escreveu:
> Rubens,
>
> No meu gmail, foi diferente:
>
> Return-Path: <indiaman em p3slh231.shr.phx3.secureserver.net>
> Received: from p3smtphosting03.prod.phx3.secureserver.net (
> p3smtphosting03-01.prod.phx3.secureserver.net. [208.109.80.73])
>         by mx.google.com with ESMTP id
> g124si662820itb.45.2017.01.05.02.17.17
>         for <kolt em frag.com.br>;
>         Thu, 05 Jan 2017 02:17:18 -0800 (PST)
> Received-SPF: pass (google.com: best guess record for domain of
> indiaman em p3slh231.shr.phx3.secureserver.net designates 208.109.80.73 as
> permitted sender) client-ip=208.109.80.73;
> Authentication-Results: mx.google.com;
>        spf=pass (google.com: best guess record for domain of
> indiaman em p3slh231.shr.phx3.secureserver.net designates 208.109.80.73 as
> permitted sender) smtp.mailfrom=indiaman em p3slh231.shr.phx3.secureserver.net;
>        dmarc=fail (p=NONE dis=NONE) header.from=eng.registro.br
> From: Lista das indisponibilidades da Internet brasileira <
> caiu em eng.registro.br>
> Reply-To: Lista das indisponibilidades da Internet brasileira <
> caiu em eng.registro.br>
>
> 2017-01-05 15:09 GMT-02:00 Rubens Kuhl <rubensk em gmail.com>:
>
>> 2017-01-05 13:43 GMT-02:00 Rubens Kuhl <rubensk em gmail.com>:
>>
>>>
>>> 2017-01-05 8:22 GMT-02:00 Leandro Carlos Rodrigues <
>>> leandro em allchemistry.com.br>:
>>>> Em 05/01/2017 08:17, Roberto Lima escreveu:
>>>>> Aos responsáveis da lista: Acabo de receber um phishing contendo um
>> link
>>>>> com virus. Fiquem de olho!
>>>>>
>>>>> http://i.imgur.com/RgyVPSF.png
>>>>
>>>> Sugestão:
>>>>
>>>>    eng.registro.br.                 60      IN      TXT "v=spf1
>>>>    redirect=nic.br"
>>>>
>>> eng.registro.br já tinha registro SPF antes desse episódio, que é assim:
>>>
>>> eng.registro.br descriptive text "v=spf1 mx -all"
>>>
>>>
>>> A eng.registro.br não usa os sistemas de envio nem do nic.br nem do
>>> registro.br, ela é auto-contida. Como a eng.registro.br é o MX de
>>> eng.registro.br, ela é a única máquina autorizada a enviar e-mails com
>>> esse hostname.
>>>
>>>
>> Complementando, um usuário nos enviou headers da mensagem recebida pelo
>> Gmail e lá estava claro que o sistema destino dispunha de informações
>> suficientes para julgar o e-mail como falso:
>>
>> Received-SPF: fail (google.com: domain of gter em eng.registro.br does not
>> designate 74.208.4.196 as permitted sender) client-ip=74.208.4.196;
>> Authentication-Results: mx.google.com;
>>        spf=fail (google.com: domain of gter em eng.registro.br does not
>> designate 74.208.4.196 as permitted sender) smtp.mailfrom=
>> gter em eng.registro.br;
>> dmarc=fail (p=NONE dis=NONE) header.from=eng.registro.br
>>
>>
>> Rubens
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu