Header image

Tentativa de Phishing

Posted by cedik in Uncategorized

M-a rugat azi un prieten (nu-i dau totusi numele, sa nu se supere) sa il ajut cu ceva. Isi cumparase recent un cont Steam pentru licenta de Counter Strike si a primit azi un mail, in aparenta de la Steam Community, in care i se spunea cum ca i-ar fi fost spart contul si i se dadea un link catre pagina Steam, pentru a se loga. Cum nu a fost atent… s-a ars si a ramas acum fara cont. Din nefericire, nu e nici primul nici ultimul care pateste asa ceva la fel cum nu sunt nici eu primul sau ultimul care scrie despre asa ceva. Problema e ca, incercand sa il ajut pe el, am realizat ca desi foarte multi te avertizeaza ce sa faci pentru a preveni astfel de lucruri e mai greu cu partea de dupa… Asta difera de la caz la caz insa poate actiunile pe care le-am facut eu s-ar putea sa inspire si pe altii aflati in cazuri similare.

In primul si primul rand, cand vorbim de domenii.ro sau de tentative de phishing adresate .ro (adica Romaniei), puteti faceti o sesizare legata pe site-ul efrauda.ro. Exista desigur si antiphishing.org dar e mai mult pentru .com (adica pentru cei de dinafara). Oricum, e cam aiurea. Am stat ceva vreme sa ma gandesc ce naiba fac, cum sa il ajut? Sa sun la 112 sa zic de phishing? Cred ca ar fi zis aia ca fac misto de ea. Ma indoiesc ca ar stii astia de la Politia Romana, cei de jos, ce inseamna macar acest lucru… Bine ca am gasit efrauda.ro dupa ceva cautari pe Google

Poti incerca insa si sa vezi daca poti face tu, ca persoana ceva. Macar ca sa afli identitatea persoanei in cauza si sa ii dai o mama de bataie. Cu ce incepi?

http://canisadegiuliano.ro/asd/www.steamcommunity.com/index.html e site-ul de phishing in cauza… Arata exact ca site-ul oficial Steam dar, ghiciti ce… nu este! Deasemenea, mai exista si asta -> http://canisadegiuliano.ro/asd/www.alphawow.net/, tot site de phishing, tot pe domeniul canisadegiuliano.ro. Oricum, nu stiu cat de mult va ajuta aceste lucruri…

Primul lucru pe care l-am facut eu a fost sa intru pe canisadegiuliano.ro. Ghinion! E in constructie… nu putem afla nimic de acolo. Urmeaza pasul 2… Se face o cautare pe whois.net in speranta ca vom afla acolo numele celui care detine domeniul. Din nefericire, are identitatea protejata dar nu-i nimic… aflam urmatoarele:

   Domain Name: canisadegiuliano.ro
   Registrar: Hell Advertising S.R.L.
   Whois Server: http://whois.rotld.ro
   Referral URL: http://www.domain.ro

   Name Server: ns.clausweb.ro
   Name Server: ns.registar.ro
   Name Server: ns.romania-webhosting.com

Ok… deci e gazduit de clausweb.ro. Perfect!

Intru pe site-ul lor, caut o pagina de sesizari si ajung intr-un final pe pagina de Contact. Gasesc acolo niste id-uri de mess, dau add si nu raspunde nimeni. Ma gandeam sa ii las fara hosting, ca e ilegal dar ma gandesc pana la urma ca mai bine nu! Deocamdata sa ramana acolo, pentru dovezi.

Trec mai departe… Cum site-ul lor nu m-a ajutat prea mult, putea sa o faca mail-ul. Mi-am rugat prietenul sa dea click pe Full Headers (e un link de genul asta in mail) si ce vad eu pe acolo…

Your Steam Account
Wednesday, February 25, 2009 2:09 PM
From www.steamcommunity.com Wed Feb 25 14:09:43 2009
Return-Path: <alex@fjsc.ro>
Authentication-Results: mta286.mail.re2.yahoo.com from=steamcommunity.net; domainkeys=neutral (no sig); from=steamcommunity.net; dkim=neutral (no sig)
Received: from 141.85.31.3 (EHLO fjsc.ro) (141.85.31.3) by mta286.mail.re2.yahoo.com with SMTP; Wed, 25 Feb 2009 13:11:42 -0800
Received: by fjsc.ro (Postfix, from userid 1003) id 8904E7E946; Wed, 25 Feb 2009 22:09:43 +0000 (UTC)
To: **************@yahoo.com
Subject: Your Steam Account
Message-ID: <1235599783.12753.qmail@steamcommunity.com>
From:
“www.steamcommunity.com” <admin@steamcommunity.net>
Add sender to Contacts
Content-Type: text/html
Date: Wed, 25 Feb 2009 22:

Faza asta o stiu de ceva vreme, de cand ma jucam si eu cu functia de mail din php ca sa trimit mail-uri la misto (Byby si Under stiu :D ) deci stiam unde sa caut.

Received: from 141.85.31.3 (EHLO fjsc.ro)

Intru pe fjsc.ro… site-ul Facultatii de Jurnalism si Stiintele Comunicarii… Mai, mai, mai! Ia te uita cu ce se mai ocupa unii pe acolo!

Gasesc in footer-ul urmatoarea chestie…

Actualizarea site-ului: asist. univ. George Hari Popescu

Aha! Intru pe site-ul Cyberculture.ro, site-ul lui George Hari Popescu si fac de acolo rost de id-ul sau de mess. I-am dat add acum ceva vreme si acum astept sa imi dea accept si sa discut cu el mai pe indelete. Ah, by the way, ca sa nu inteleaga gresit lumea… nu il suspectez pe el ca ar fi responsabil de faza cu phishing-ul (incercand sa dau de el pe net am observat ca pare a fi o persoana cu capul pe umeri) dar fiind responsabil cu site-ul, poate m-ar ajuta sa vad cine e geniul malefic din spate! Oricum ar fi… ma simt putin cam dezamagit sa vad o faza ca asta. Pentru o astfel de prostie pica prost Facultatea de Jurnalism, ca de pe serverele lor s-a trimis mail-ul… Studenti prosti, ce vrei… Ma gandesc insa cu groaza… daca astia de la Jurnalistica fac asa, oare cei de la Informatica si Automatica cu ce s’or mai ocupa?

Momentan astept… Ma gandesc sa sun pana la urma la acea facultate insa cand imi imaginez cum va trebui sa ii explic eu unei secretare de phishing, de cum a fost trimis un mail de pe serverul lor, de cum am aflat eu de asta si asa mai departe.. ma apuca groaza :|

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

10 Responses

  • Cicu D. Alex-Fabian says:

    Nu cred ca vei obtine informatii de la “Georgica”, putin probabil una ca asta. Ai incercat sa contactezi registerul? domain.ro, Hell Advertising S.R.L., office@helladvertising.ro.
    Whois rotld:
    Technical Contact
    Belei Alexandru
    Zbabing Media
    Luica 31 bl m4 bis sc 1
    Bucuresti
    Bucuresti, RO
    Phone: +40.721512250
    Email: alex@zbabing.ro

    Important:
    “34. Registrul ROTLD poate anula sau suspenda un nume de domeniu:

    * daca ROTLD este informat despre o actiune ilegala, referitoare la acel nume de domeniu;
    …”

  • cedik says:

    Site-ul e picat acum, a fost sters de pe host!
    Btw, Alexandru zici? Mail-ul ala a fost trimis de la un alex@fjcs.ro

  • Cicu D. Alex-Fabian says:

    @cedik – … da, curios!
    Si nici saitul mai sus mentionat (zbangzbang-ca-te-tai.ro) nu e prea stralucit… dupa judecata mea, omu` nu este foarte inteligent.

    De mentionat ca acea clasa de ip-uri apartine:
    inetnum: 141.85.0.0 – 141.85.255.255
    netname: PUB-NET
    descr: RoEduNet
    descr: “Politehnica” University of Bucharest
    descr: Communication Center
    descr: Splaiul Independentei 313
    descr: Bucharest 77206
    country: RO
    admin-c: EA1284-RIPE
    tech-c: GB6367-RIPE
    rev-srv: pub.pub.ro
    status: ASSIGNED PI “status:” definitions
    mnt-by: PUB-MNT
    mnt-routes: PUB-MNT
    mnt-lower: PUB-MNT

    person: Eduard ANDREI
    address: RoEduNet, Bucharest NOC
    address: 313 Splaiul Independentei,
    address: “Rectorat” Building, R506-507,
    address: sector 6, Bucharest – 77206
    address: ROMANIA
    phone: +401 410 16 39
    fax-no: +401 410 16 39
    e-mail: eandrei@roedu.net
    nic-hdl: EA1284-RIPE
    mnt-by: PUB-MNT

    person: George BOULESCU
    address: RoEduNet, Bucharest NOC
    address: 313 Splaiul Independentei,
    address: “Rectorat” Building, R506-507,
    address: sector 6, Bucharest
    address: ROMANIA
    phone: +40-21-3171175
    fax-no: +40-21-3171175
    e-mail: george@roedu.net
    nic-hdl: GB6367-RIPE
    mnt-by: PUB-MNT

  • cedik says:

    Ce frumos :))
    Asta ca sa vezi de ce fel de prostii se tin unii.

  • Andra says:

    Mă speriaţi, oameni buni! Sper să nu supăr pe vreunul din voi vreodată, că cine ştie ce aflaţi. Sunteţi mai ceva ca F.B.I.-ul :))

  • cedik says:

    Ce are, Andra? Am facut-o in scopuri bune!
    Pana la urma au fost sterse acele doua scam sites, am contribuit la crearea unui internet mai sigur :>

  • Andra says:

    Într-adevăr, aici nu pot contesta valoarea acţiunii întreprinse. Sper doar să nu mă găsesc vreodată în situaţia respectivilor. Totuşi, nu mă ţin eu de aşa ceva.
    Felicitări pentru reuşită! :D Te văd vânător de scam sites în curând :))

  • miru be says:

    Interesant.Da’…poţi să traduci şi în română?:))

  • Maura says:

    Misto’ faza dar prefer partea cu mama de bataie :-\

  • @Maura

    Asta se poate rezolva, mai ales ca primu` mentionat sta pe langa mine (Luica).



Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>