[caiu] PHISING na lista

Eduardo Rigler erigler em gmail.com
Qui Jan 5 18:03:02 BRST 2017


David,

Eu recebi após a interação com uma thread específica.

https://s29.postimg.org/g1yj4uwef/Capturar.png

Recebo todas as listas no Gmail, ele não barrou.


[]´s



Em 5 de janeiro de 2017 17:47, David de Souza <davids em vidi.com.br> escreveu:

>
> Não recebi nada disso; digo, nem bloqueado foi. Aparentemente meu
> endereço não estava na lista do meliante. Embora usar amostragem nesse
> caso não funcione bem, assumo que como não houve muita reclamação é
> possível que poucos tenham recebido.
>
> A partir desse ponto seria interessante tentar a engenharia reversa para
> saber como os endereços foram parar em uma lista tão restrita já que
> pelo visto ela é um subconjunto de uma lista já muito restrita que é
> essa nossa.
>
> Qual era o objetivo desse phishing em particular?
>
> Os destinatários operam em algum grupo ou subgrupo identificável
> (região, cidade, setor, etc)?
>
> Qual foi o nível de detalhes na falsificação dos headers?
>
>
>
>
> Abraços.
>
>
>
> David de Souza
> davids em vidi.com.br
> -----------------------------------------------
>
> Em 05/01/2017 16:14, Guilherme Boing escreveu:
> > Rubens,
> >
> > No meu gmail, foi diferente:
> >
> > Return-Path: <indiaman em p3slh231.shr.phx3.secureserver.net>
> > Received: from p3smtphosting03.prod.phx3.secureserver.net (
> > p3smtphosting03-01.prod.phx3.secureserver.net. [208.109.80.73])
> >         by mx.google.com with ESMTP id
> > g124si662820itb.45.2017.01.05.02.17.17
> >         for <kolt em frag.com.br>;
> >         Thu, 05 Jan 2017 02:17:18 -0800 (PST)
> > Received-SPF: pass (google.com: best guess record for domain of
> > indiaman em p3slh231.shr.phx3.secureserver.net designates 208.109.80.73 as
> > permitted sender) client-ip=208.109.80.73;
> > Authentication-Results: mx.google.com;
> >        spf=pass (google.com: best guess record for domain of
> > indiaman em p3slh231.shr.phx3.secureserver.net designates 208.109.80.73 as
> > permitted sender) smtp.mailfrom=indiaman em p3slh231.shr.phx3.
> secureserver.net;
> >        dmarc=fail (p=NONE dis=NONE) header.from=eng.registro.br
> > From: Lista das indisponibilidades da Internet brasileira <
> > caiu em eng.registro.br>
> > Reply-To: Lista das indisponibilidades da Internet brasileira <
> > caiu em eng.registro.br>
> >
> > 2017-01-05 15:09 GMT-02:00 Rubens Kuhl <rubensk em gmail.com>:
> >
> >> 2017-01-05 13:43 GMT-02:00 Rubens Kuhl <rubensk em gmail.com>:
> >>
> >>>
> >>> 2017-01-05 8:22 GMT-02:00 Leandro Carlos Rodrigues <
> >>> leandro em allchemistry.com.br>:
> >>>> Em 05/01/2017 08:17, Roberto Lima escreveu:
> >>>>> Aos responsáveis da lista: Acabo de receber um phishing contendo um
> >> link
> >>>>> com virus. Fiquem de olho!
> >>>>>
> >>>>> http://i.imgur.com/RgyVPSF.png
> >>>>
> >>>> Sugestão:
> >>>>
> >>>>    eng.registro.br.                 60      IN      TXT "v=spf1
> >>>>    redirect=nic.br"
> >>>>
> >>> eng.registro.br já tinha registro SPF antes desse episódio, que é
> assim:
> >>>
> >>> eng.registro.br descriptive text "v=spf1 mx -all"
> >>>
> >>>
> >>> A eng.registro.br não usa os sistemas de envio nem do nic.br nem do
> >>> registro.br, ela é auto-contida. Como a eng.registro.br é o MX de
> >>> eng.registro.br, ela é a única máquina autorizada a enviar e-mails com
> >>> esse hostname.
> >>>
> >>>
> >> Complementando, um usuário nos enviou headers da mensagem recebida pelo
> >> Gmail e lá estava claro que o sistema destino dispunha de informações
> >> suficientes para julgar o e-mail como falso:
> >>
> >> Received-SPF: fail (google.com: domain of gter em eng.registro.br does not
> >> designate 74.208.4.196 as permitted sender) client-ip=74.208.4.196;
> >> Authentication-Results: mx.google.com;
> >>        spf=fail (google.com: domain of gter em eng.registro.br does not
> >> designate 74.208.4.196 as permitted sender) smtp.mailfrom=
> >> gter em eng.registro.br;
> >> dmarc=fail (p=NONE dis=NONE) header.from=eng.registro.br
> >>
> >>
> >> Rubens
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
>
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


Mais detalhes sobre a lista de discussão caiu