Tentativa de Phishing
Posted by in UncategorizedM-a rugat azi un prieten (nu-i dau totusi numele, sa nu se supere) sa il ajut cu ceva. Isi cumparase recent un cont Steam pentru licenta de Counter Strike si a primit azi un mail, in aparenta de la Steam Community, in care i se spunea cum ca i-ar fi fost spart contul si i se dadea un link catre pagina Steam, pentru a se loga. Cum nu a fost atent… s-a ars si a ramas acum fara cont. Din nefericire, nu e nici primul nici ultimul care pateste asa ceva la fel cum nu sunt nici eu primul sau ultimul care scrie despre asa ceva. Problema e ca, incercand sa il ajut pe el, am realizat ca desi foarte multi te avertizeaza ce sa faci pentru a preveni astfel de lucruri e mai greu cu partea de dupa… Asta difera de la caz la caz insa poate actiunile pe care le-am facut eu s-ar putea sa inspire si pe altii aflati in cazuri similare.
In primul si primul rand, cand vorbim de domenii.ro sau de tentative de phishing adresate .ro (adica Romaniei), puteti faceti o sesizare legata pe site-ul efrauda.ro. Exista desigur si antiphishing.org dar e mai mult pentru .com (adica pentru cei de dinafara). Oricum, e cam aiurea. Am stat ceva vreme sa ma gandesc ce naiba fac, cum sa il ajut? Sa sun la 112 sa zic de phishing? Cred ca ar fi zis aia ca fac misto de ea. Ma indoiesc ca ar stii astia de la Politia Romana, cei de jos, ce inseamna macar acest lucru… Bine ca am gasit efrauda.ro dupa ceva cautari pe Google
Poti incerca insa si sa vezi daca poti face tu, ca persoana ceva. Macar ca sa afli identitatea persoanei in cauza si sa ii dai o mama de bataie. Cu ce incepi?
http://canisadegiuliano.ro/asd/www.steamcommunity.com/index.html e site-ul de phishing in cauza… Arata exact ca site-ul oficial Steam dar, ghiciti ce… nu este! Deasemenea, mai exista si asta -> http://canisadegiuliano.ro/asd/www.alphawow.net/, tot site de phishing, tot pe domeniul canisadegiuliano.ro. Oricum, nu stiu cat de mult va ajuta aceste lucruri…
Primul lucru pe care l-am facut eu a fost sa intru pe canisadegiuliano.ro. Ghinion! E in constructie… nu putem afla nimic de acolo. Urmeaza pasul 2… Se face o cautare pe whois.net in speranta ca vom afla acolo numele celui care detine domeniul. Din nefericire, are identitatea protejata dar nu-i nimic… aflam urmatoarele:
Domain Name: canisadegiuliano.ro Registrar: Hell Advertising S.R.L. Whois Server: http://whois.rotld.ro Referral URL: http://www.domain.ro Name Server: ns.clausweb.ro Name Server: ns.registar.ro Name Server: ns.romania-webhosting.com
Ok… deci e gazduit de clausweb.ro. Perfect!
Intru pe site-ul lor, caut o pagina de sesizari si ajung intr-un final pe pagina de Contact. Gasesc acolo niste id-uri de mess, dau add si nu raspunde nimeni. Ma gandeam sa ii las fara hosting, ca e ilegal dar ma gandesc pana la urma ca mai bine nu! Deocamdata sa ramana acolo, pentru dovezi.
Trec mai departe… Cum site-ul lor nu m-a ajutat prea mult, putea sa o faca mail-ul. Mi-am rugat prietenul sa dea click pe Full Headers (e un link de genul asta in mail) si ce vad eu pe acolo…
Your Steam Account
Wednesday, February 25, 2009 2:09 PM
From www.steamcommunity.com Wed Feb 25 14:09:43 2009
Return-Path: <alex@fjsc.ro>
Authentication-Results: mta286.mail.re2.yahoo.com from=steamcommunity.net; domainkeys=neutral (no sig); from=steamcommunity.net; dkim=neutral (no sig)
Received: from 141.85.31.3 (EHLO fjsc.ro) (141.85.31.3) by mta286.mail.re2.yahoo.com with SMTP; Wed, 25 Feb 2009 13:11:42 -0800
Received: by fjsc.ro (Postfix, from userid 1003) id 8904E7E946; Wed, 25 Feb 2009 22:09:43 +0000 (UTC)
To: **************@yahoo.com
Subject: Your Steam Account
Message-ID: <1235599783.12753.qmail@steamcommunity.com>
From:
“www.steamcommunity.com” <admin@steamcommunity.net>
Add sender to Contacts
Content-Type: text/html
Date: Wed, 25 Feb 2009 22:
Faza asta o stiu de ceva vreme, de cand ma jucam si eu cu functia de mail din php ca sa trimit mail-uri la misto (Byby si Under stiu 
) deci stiam unde sa caut.
Received: from 141.85.31.3 (EHLO fjsc.ro)
Intru pe fjsc.ro… site-ul Facultatii de Jurnalism si Stiintele Comunicarii… Mai, mai, mai! Ia te uita cu ce se mai ocupa unii pe acolo!
Gasesc in footer-ul urmatoarea chestie…
Actualizarea site-ului: asist. univ. George Hari Popescu
Aha! Intru pe site-ul Cyberculture.ro, site-ul lui George Hari Popescu si fac de acolo rost de id-ul sau de mess. I-am dat add acum ceva vreme si acum astept sa imi dea accept si sa discut cu el mai pe indelete. Ah, by the way, ca sa nu inteleaga gresit lumea… nu il suspectez pe el ca ar fi responsabil de faza cu phishing-ul (incercand sa dau de el pe net am observat ca pare a fi o persoana cu capul pe umeri) dar fiind responsabil cu site-ul, poate m-ar ajuta sa vad cine e geniul malefic din spate! Oricum ar fi… ma simt putin cam dezamagit sa vad o faza ca asta. Pentru o astfel de prostie pica prost Facultatea de Jurnalism, ca de pe serverele lor s-a trimis mail-ul… Studenti prosti, ce vrei… Ma gandesc insa cu groaza… daca astia de la Jurnalistica fac asa, oare cei de la Informatica si Automatica cu ce s’or mai ocupa?
Momentan astept… Ma gandesc sa sun pana la urma la acea facultate insa cand imi imaginez cum va trebui sa ii explic eu unei secretare de phishing, de cum a fost trimis un mail de pe serverul lor, de cum am aflat eu de asta si asa mai departe.. ma apuca groaza 
You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.
Nu cred ca vei obtine informatii de la “Georgica”, putin probabil una ca asta. Ai incercat sa contactezi registerul? domain.ro, Hell Advertising S.R.L., office@helladvertising.ro.
Whois rotld:
Technical Contact
Belei Alexandru
Zbabing Media
Luica 31 bl m4 bis sc 1
Bucuresti
Bucuresti, RO
Phone: +40.721512250
Email: alex@zbabing.ro
Important:
“34. Registrul ROTLD poate anula sau suspenda un nume de domeniu:
…
* daca ROTLD este informat despre o actiune ilegala, referitoare la acel nume de domeniu;
…”
Site-ul e picat acum, a fost sters de pe host!
Btw, Alexandru zici? Mail-ul ala a fost trimis de la un alex@fjcs.ro
@cedik – … da, curios!
Si nici saitul mai sus mentionat (zbangzbang-ca-te-tai.ro) nu e prea stralucit… dupa judecata mea, omu` nu este foarte inteligent.
De mentionat ca acea clasa de ip-uri apartine:
inetnum: 141.85.0.0 – 141.85.255.255
netname: PUB-NET
descr: RoEduNet
descr: “Politehnica” University of Bucharest
descr: Communication Center
descr: Splaiul Independentei 313
descr: Bucharest 77206
country: RO
admin-c: EA1284-RIPE
tech-c: GB6367-RIPE
rev-srv: pub.pub.ro
status: ASSIGNED PI “status:” definitions
mnt-by: PUB-MNT
mnt-routes: PUB-MNT
mnt-lower: PUB-MNT
person: Eduard ANDREI
address: RoEduNet, Bucharest NOC
address: 313 Splaiul Independentei,
address: “Rectorat” Building, R506-507,
address: sector 6, Bucharest – 77206
address: ROMANIA
phone: +401 410 16 39
fax-no: +401 410 16 39
e-mail: eandrei@roedu.net
nic-hdl: EA1284-RIPE
mnt-by: PUB-MNT
person: George BOULESCU
address: RoEduNet, Bucharest NOC
address: 313 Splaiul Independentei,
address: “Rectorat” Building, R506-507,
address: sector 6, Bucharest
address: ROMANIA
phone: +40-21-3171175
fax-no: +40-21-3171175
e-mail: george@roedu.net
nic-hdl: GB6367-RIPE
mnt-by: PUB-MNT
Ce frumos
Asta ca sa vezi de ce fel de prostii se tin unii.
Mă speriaţi, oameni buni! Sper să nu supăr pe vreunul din voi vreodată, că cine ştie ce aflaţi. Sunteţi mai ceva ca F.B.I.-ul
Ce are, Andra? Am facut-o in scopuri bune!
Pana la urma au fost sterse acele doua scam sites, am contribuit la crearea unui internet mai sigur
Într-adevăr, aici nu pot contesta valoarea acţiunii întreprinse. Sper doar să nu mă găsesc vreodată în situaţia respectivilor. Totuşi, nu mă ţin eu de aşa ceva.
Te văd vânător de scam sites în curând 
Felicitări pentru reuşită!
Interesant.Da’…poţi să traduci şi în română?
Misto’ faza dar prefer partea cu mama de bataie![:-\](http://blog.cedik.info/wp-content/plugins/ym_smilies/images/yahoo_question.gif ":-\")
“
@Maura –
Asta se poate rezolva, mai ales ca primu` mentionat sta pe langa mine (Luica).