Spam o grze na giełdzie – wzorzec, sprawdź logi

Od pewnego czasu dostaję sporo spamu dotyczącego gry na giełdzie. Polsko brzmiące From, w treści zwykle niemieccy uczeni, gra na giełdzie, sztuczna inteligencja oraz całą dobę. W różnych wariantach. Do tego link do strony.

Z tego co mi się obiło o ekran, nie tylko ja to dostaję, a z tego co widzę po skrzynkach – filtry nadawców sobie nie radzą. Poza tym, myślałem, że się skończyło, ale widzę, że nadchodzi kolejna fala.

Zgłaszałem do SpamCopa (nie bez trudności) i akurat w tej kwestii dostałem kilka odpowiedzi z podziękowaniami za zwrócenie uwagi na problem, poza tym, jest charakterystyczny ciąg w URLu, więc wygląda na działanie jakiegoś niezbyt znanego robaka.

Mianowicie wszystkie(? albo prawie wszystkie) URLe, do których odsyłają maile ze spamem zawierają ciąg:

.php?b=2

Zapewne jeśli prowadzi serwer WWW, to warto grepnąć logi pod tym kątem. Kod 200 będzie oznaczał, że prawdopodobnie strona jest zainfekowana.

Zatem prośba do adminów WWW o sprawdzenie logów pod tym kątem, a do adminów poczty o próbę uwzględnienia tego w regułach antyspamowych.

PS Jakby przyjrzeć się bliżej, to pewnie nawet okaże się, że problem dotyczy tylko starej wersji któregoś CMSa, ale tego nie chce mi się już analizować.

Awizowy chaos @PocztaPolska

Tło

W mojej okolicy są dwa urzędy pocztowe. Jeden trochę bliżej miejsca zamieszkania (nazwijmy go A), drugi trochę dalej (nazwijmy go B). Przynależę do tego trochę dalej (B). Ponieważ ostatnio kupuję trochę drobnych gadżetów w Chinach, więc przesyłki dość często się pojawiają. Część nie wchodzi do skrzynki, wtedy dostaję awizo, że nierejestrowana, rozmiar wyklucza pozostawienie w skrzynce. Albo jakoś tak.

Dzień pierwszy – poranek

Awizo w skrzynce. Wyjąłem i następnego dnia rano wyruszam na pocztę (urząd B). Wręczam awizo, pokazuję dowód. Pani szuka. Przesyłki jakby nie ma. Pani zagląda do szafki. Im bardziej zagląda do szafki, tym przesyłki bardziej nie ma. Wraca, patrzy jeszcze raz na awizo i tryumfalnie obwieszcza, że to do odbioru w urzędzie A. Mówię, że zawsze tu byłem obsługiwany. Słyszę, że od czerwca się pozmieniało. No OK, myślę, bywa. Nawet lepiej, bo będzie bliżej domu poczta. Ale… czy mogłaby pani sprawdzić, co jest napisane na awizo? A tam jak byk, że przesyłka do odbioru w urzędzie B. Słyszę coś o niezmienionej pieczątce i filiach. Średnio zwracam na nie uwagę, bo w sumie nieważne. Nic to, jest ranek, w kolejce nie stałem, w sumie tu i tu po drodze mam, nie róbmy afery. Zresztą nawet do mnie nie dotarło w pełni co się właśnie wydarzyło i cieszyłem się na odbiór gadżetów.

Dzień pierwszy – popołudnie

Wchodzę na pocztę A. Daję awizo i mówię, że słyszałem, że się pozmieniało. Pani z okienka nic nie wie o zmianach. Ale przesyłka faktycznie tu do odbioru, bo kierowca/listonosz się pomylił i odstawił nie do tego urzędu. Cóż, trzeba było tak od razu. Jest po staremu, czyli dobrze, a ludzki błąd – zdarza się. Lepsze to, niż dostać awizo na urząd B i musieć iść do urzędu A, prawda? Upewniam się jeszcze raz, że to wyjątek i wszystko jest po staremu.

Wracam do domu. W skrzynce widzę kolejne awizo. Nowe gadżety czekają!

Dzień drugi – poranek

Biorę awizo i pędzę na swoją pocztę, czyli B. Daję awizo. Pani patrzy i mówi, że to nie do nich przecież i jest napisane, że poczta A. Patrzę i faktycznie! O ja głupia [cenzura]! Nie przeczytałem, a tam faktycznie jak byk: do odbioru w urzędzie pocztowym A. Ale pani w B mówi, że sprawdzi, na wszelki wypadek. No i jest przesyłka!

Zakończenie

Pogubiłem się. Zaczynam się bać otwierać skrzynkę. Może być awizo. A jeśli będzie, to czy sugerować się tym, co jest napisane, czy wręcz przeciwnie? Myślałem o przejściu na te nowe powiadomienia SMSem, ale nie wiem, czy wypada. Może po prostu na poczcie chcą mnie widywać częściej? W obu urzędach?

PS Na razie traktuję całą sytuację jako zabawną aberrację. Ale wolałbym, żeby się unormowało. 😉

UPDATE Wygląda, że już wszystko po staremu, czyli działa. W sobotę wyjąłem awizo, poszedłem na wskazaną pocztę, odebrałem przesyłkę. Uff… 😉

Ja, spamer (rzekomy)

Maila dostałem. Od jednego z moich dostawców poczty. Alert bezpieczeństwa! Ciekawie wyglądały już nagłówki:

Subject: Alert bezpieczeństwa! Ryzyko przejęcia konta
From: Poczta

Ludzie zajmujący się security śmiechnęli, że śmierdzi fake. Też mi to przeszło przez głowę, ale w dzisiejszych czasach nieustannie trzeba zachowywać czujność. Nieustannie! 😉

Drogi Użytkowniku,

Otrzymujesz od nas tę wiadomość ponieważ istnieje uzasadniona obawa, że Twój komputer jest zainfekowany przez wirusa/trojana.
Przypuszczamy że wirus/trojan przejął kontrolę nad Twoją skrzynką mailową i wysyła SPAM w Twoim imieniu.

W związku z powyższym prosimy o wykonanie wskazanych czynności:

 1. Należy niezwłocznie przeskanować  komputer programem antywirusowym
 2. Następnie dokonać zmiany hasła do konta pocztowego na stronie: https://konto.onet.pl/update-password.html.
 3. Po zmianie hasła, należy wylogować się z konta, a następnie zalogować ponownie na stronie https://poczta.onet.pl.
 4. Po zalogowaniu prosimy o wysłanie wiadomości mailowej na adres blokadaskrzynki@grupaonet.pl z potwierdzeniem wykonania powyższych kroków.

Do chwili wykonania wszystkich wymienionych czynności mogą występować problemy z wysyłką wiadomości.

Przypominamy, że ze względów bezpieczeństwa Grupa Onet.pl SA nigdy nie prosi o podawanie lub potwierdzanie haseł oraz nie umieszcza w wysyłanych e-mailach odsyłaczy do stron, na których hasło można zmienić.

Hasła nie wolno nikomu ujawniać. Nie należy odpowiadać na e-maile lub telefony z prośbami o podanie hasła. W przypadku otrzymania e-maila zawierającego podobne prośby, prosimy ten fakt zgłosić pod adresem abuse@onet.pl lub dzwonić na numery: 0 801 080 200 lub 012 26 00 200 (poniedziałek-piątek, 7:00-23:00; sobota-niedziela, 10:00-18:00). Polecamy nasze porady na temat bezpieczeństwa: http://pomoc.onet.pl/46,1120,przewodnik.html

Uprzejmie tłumaczę, że Linux, silne hasło, szyfrowane protokoły i raczej false positive, bo dostałem dziwny komunikat przy wysyłce maila do SpamCopa, więc niczego skanować nie będę ot tak, tylko dajcie najpierw logi i przede wszystkim odblokujcie konto.

Otrzymałem dziś odpowiedź:

Witamy,

Dziękujemy za list.

Przekazywane przez Pana wiadomości (raporty)  to był spam, dlatego też nasz system antyspamowy zareagował zablokowaniem kanału smtp oraz wysłaniem powiadomienia.

W tym przypadku nie ma konieczności wykonania opisanych w Alercie bezpieczeństwa czynności.

I w zasadzie chyba powinienem im teraz wytłumaczyć, że to nie był spam, tylko legalna wiadomość (nadawca zamawiał!). Że można, ba, powinno się traktować inaczej maile, które całą treść mają w załączniku eml. No i pewnie że przydała by się whitelista na spamcop.net. Ale nie sądzę, by zrozumieli. Gdyby rozumieli, że zjepsuli, to w treści pojawiłoby się przecież słowo przepraszam. Pozostaje odezwać się do SpamCopa nt. obsługi GPG. Może wtedy Onet przestanie zaglądać mi w pocztę i – co gorsza – wyciągać błędne wnioski na tej podstawie.

Swoją drogą, ostatnio spamu tyle przychodzi, że chyba odpalę skrypt Montera do automatycznego zatwierdzania spamu na SpamCop.

UPDATE Zauważyłem, że podobne podejście do tematu co Onet ma Wirtualna Polska. Też nie pozwolili mi ostatnio zgłosić spamu do SpamCopa.