Pismo gradonačelnika grada Beograda g. Aleksandra Šapića

[maxxa]

From: JKP Naplata prevozne usluge Beograd <[email protected]>

Code:

ARC-Authentication-Results: i=1; mx.google.com;
      spf=pass (google.com: domain of [email protected] designates 109.94.103.6 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from relay04.comtradecloud.com (relay04.comtradecloud.com. [109.94.103.6])
        by mx.google.com with ESMTPS id d14-20020a170906c20e00b00991f1a1c99csi8993497ejz.360.2023.07.14.06.40.20

Sve je regulare, 109.94.103.6 je Comtrade kao sto i pise, nema naznaka da je fake, zato m dalje brine da je prica kao sa eid.gov.rs kada je bio kompromitovan nalog na serveru.

Sama mail adresa nema losu reputaciju, ali zato prilog PISMO.PDF ima detekcije da je amliciozan.

https://www.virustotal.com/gui/file/eb17...1d1cbd8006
   

Prvi je skrenuo paznju nas dobri Student iz HKLBGD na TW: https://twitter.com/Studentbgd/status/16...6967936000
   

Naravno, postoji uvek mogucnost da je false positive.
Yomi mi failuje, pokusacu sutra jos neki sandbox pa kacim rezultate.

Na kraju, ako je ovo i validan email, namerno poslat - da li je realno da samo dobijem(o) mail od gradonacelnika, odnosno sa ovakvim subject-om, sa neke adreseza naplatu bg prevoza, npr ja nisam ostavio svoj email za ovu namenu... Tako da je u najmanju ruku spam.

[maxxa]

Evo ga i sadrzaj PISMO.PDF