Pošta opet pošta uvek - Printable Version

Pošta opet pošta uvek - Printable Version

+- Bezbedan Balkan (https://bezbedanbalkan.net)
+-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html)
+--- Forum: Phishing / Scam / Spam kampanje (https://bezbedanbalkan.net/forum-9.html)
+--- Thread: Pošta opet pošta uvek (/thread-1067.html)

Pošta opet pošta uvek - milos_rs - 12-15-2023

neka nova kampanja izgleda...

Filename: Screenshot_20231215_105742.png Size: 108.95 KB 12-15-2023, 10:02 AM

Code:

Authentication-Results: spf=none (sender IP is 69.48.170.45)

 smtp.mailfrom=arcabas.rs; dkim=none (message not signed)

 header.d=none;dmarc=none action=none header.from=arcabas.rs;compauth=fail

 reason=001

Received-SPF: None (protection.outlook.com: arcabas.rs does not designate

 permitted sender hosts)

Received: from mail4.arcabas.com (69.48.170.45) by

 AMS0EPF00000193.mail.protection.outlook.com (10.167.16.212) with Microsoft

 SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id

 15.20.7091.26 via Frontend Transport; Thu, 14 Dec 2023 06:12:57 +0000

From: =?utf-8?Q?P=E2=80=8Eo=E2=80=8E=C5=A1t=E2=80=8Ea-S=E2=80=8Er=E2=80=8Eb=E2=80=8Ei=E2=80=8Ej=E2=80=8Ee?= <[email protected]>

To: Undisclosed-Recipients:;

Return-Path: [email protected]

ali arcabas.rs ne postoji, a arcabas.com nema sajt i relativno je sveže registrovan i koristi gandi hosting mejl

link u mejlu je utraker .com/a5QD7 i redirektuje:

Filename: Screenshot 2023-12-15 at 11-00-51 Trace Results WhereGoes.png Size: 68.26 KB 12-15-2023, 10:19 AM

ali krajnji host kada se otvara iz browsera je online-posta-rs.kaffeewirtschaft .gmbh/rs/acc/

Filename: Screenshot_20231215_110350.png Size: 76.6 KB 12-15-2023, 10:20 AM

slanje kartice na server, kao i slanje SMS 2FA koji traži ide preko parametara na online-posta-rs.kaffeewirtschaft.gmbh/rs/index.php

EDIT: na stranici blokiraju desni klik, dev tools, skrinšote i tako to, takođe imaju isti iznos i isti broj za praćenje kao ova druga kampanja, tako da je verovatno deo iste ekipe https://bezbedanbalkan.net/thread-962.html

RE: Pošta opet pošta uvek - milos_rs - 12-20-2023

kampanja je još uvek aktivna....

Filename: potsascammejl.png Size: 348.25 KB 12-20-2023, 09:21 AM

RE: Pošta opet pošta uvek - milos_rs - 12-26-2023

Evo ga neki novi, stavljam ga u ovu temu jer liči i jer nema smisla otvarati novu temu za svaki phish kad ih ima previše

Filename: Screenshot_20231226_122826.png Size: 119.92 KB 12-26-2023, 11:29 AM

Code:
Received-SPF: SoftFail (protection.outlook.com: domain of transitioning isb.rs

 discourages use of 213.33.87.17 as permitted sender)

Received: from bsmtp3.bon.at (213.33.87.17) by

 AM2PEPF0001C70D.mail.protection.outlook.com (10.167.16.201) with Microsoft

 SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id

 15.20.7135.14 via Frontend Transport; Mon, 25 Dec 2023 05:02:14 +0000

Received: from [85.215.153.182] (ip85-215-5-153-182.pbiaas.com [85.215.153.182])

    by bsmtp3.bon.at (Postfix) with ESMTPSA id

link je p-o-s-t-rs.retropolitan .art i izgleda da ne radi pa ne mogu da analiziram

logo korišćen u mejlu (ne vidi se na onom preview gore) je sa https://upload.wikimedia.org/wikipedia/commons/thumb/1/18/Posta_logo_%282021-%29.svg/2560px-Posta_logo_%282021-%29.svg.png ne znam zašto wikimedia dozvoljava hotlinking, mnogo se koristi za phishing