I dag blev jag utsatt för ett phisingförsök. Det gick dock inte så bra då jag inte är kund hos Deutche Postbank AG. Mailet jag fick började så här:
Achtung! Diese Mitteilung wird von der Sicherheitsabteilung geschickt.
Sehr geehrte Kundin,
sehr geehrter Kunde,
denn Banksicherheitssystem hat einen Ausfall, viele Zutritte zu den Konten wurden
verloren. Man muss sich nach der Vorschrift richten, um man Online-Banking erneuern
zu kann.
Man behöver inte vara speciellt duktig på tyska för att se ett liknande mönster som förra veckans försök mot Nordea; Man utger sig för att vara från banken, att man har ett säkerhetsproblem och för att kunden skall kunna fortsätta använda online-tjänsten behöver dom gå in på en webbplats och lämna identitetsinformation.
Jag tog en titt i meddelandets brevhuvud och där kan man se en del intressanta saker:
Return-path: <security @postbank.de>
Envelope-to: Joachim.XXXX@XXXX.com
Delivery-date: Wed, 12 Oct 2005 09:34:36 +0200
Received: from [85.99.145.11] (helo=dsl.dynamic859914511.ttnet.net.tr)
Received: from [100.140.126.37] (port=3062 helo=[Davin]) by dsl.dynamic859914511.ttnet.net.tr with esmtp id 9307116669Orlando59483 for Joachim.XXXX@XXXX.com; Wed, 12 Oct 2005 10:39:09 +0300
Mime-Version: 1.0 (Apple Message framework v728)
Content-Transfer-Encoding: 7bit
Message-Id: <760332901.5499973188@dsl.dynamic859914511.ttnet.net.tr>
Content-Type: text/html; charset=US-ASCII; format=flowed
To: Joachim.XXXX@XXXX.com
From: Security </security><security @postbank.de>
Subject: Deutsche Postbank AG
Date: Wed, 12 Oct 2005 10:39:08 +0300
X-Mailer: Apple Mail (2.728)
</security>
(Min mailadress är anonymiserad.)
Notera att även om mailet ser ut att komma från security@postbank.de så har det skickats från maskinen med namnet dsl.dynamic859914511.ttnet.net.tr. ttnet.net.tr är den Turkiska bredbandsleverantören Turk Telecom. Uppenbarligen kommer mailet inte från Deutche Postbank, utan från en ADSL-kund i Turkiet.
En stund senare fick jag samma phisingmail igen. Tittar man i mailhuvudet på det mailet så ser man det här:
Received: from [83.28.226.92] (helo=bmg92.neoplus.adsl.tpnet.pl)
Received: from [168.97.197.238] (port=3149 helo=[Fernando]) by bmg92.neoplus.adsl.tpnet.pl with esmtp
(Jag har klippt bort det som inte är intressant för diskussionen.)
Notera att mailet nu kommit från en maskin som heter bmg92.neoplus.adsl.tpnet.pl. tpnet.pl är den Polska bredbandsleverantören TP Kommunikaty, dvs mailet kommer inte nu heller från Deutche Postbank AG, utan en bredbandskund i Polen.
Vad har nu detta med Bodströms förslag om lagring av email att göra? Jo, jag tycker att detta illustrerar hur lite faktisk och trovärdig information man får ut om man skulle lagra alla mailhuvuden. I det här fallet är det naturligtvis inte så att det är en konspiration mellan en ADSL-kund i Turkiet och Polen.
Vad som istället har hänt är att dessa ADSL-kunder har fått in en trojan i sina datorer. Denna trojan gör det möjligt för någon att via deras datorer skicka SPAM. Och vem denna person är kan vi inte få reda på genom att samla in mailhuvuden. Informationen vi får är falsk och spåret slutar i en PC i ett hem i Polen eller Turkiet.
Någon som inte tror att terrorister skulle kunna använda ett liknande sätt att anonymisera sina mail?
No related posts.
Related posts brought to you by Yet Another Related Posts Plugin.
Trackbacks /
Pingbacks