Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Rare spam emails?

21-05-2014, 09:52 door Corne.S, 15 reacties
Laatst bijgewerkt: 21-05-2014, 09:53
vanochtend keek ik op mijn email en toen zag ik 9 emails van dezelfde persoon staan.

bij elke email zit een bijlage bij genaamd Photo.jpg(die ik uiteraard niet ga openen)
op sommige fotos worden bekende mensen of voorwerpen weergegeven met het gezicht van iemand erin(in dit geval de jonas brothers, jackie chan, doctor who, op verschillende auto's, een strand en zelfs een wc pot)

het rare is dat er in alle foto's hetzelfde gezicht van een(voor mij onbekend) meisje/vrouw voorkomt.
alle email berichten hebben geen onderwerp op 3 emails na: wouter, hugo en heheheeee"......

de emails zijn afkomstig van: 27824565807@vodamail.co.za met als afzender Nelia Erasmsus en zijn verzonden tussen 13:25 en 13:51.

ik heb best wat spam emails gehad maar nog nooit zulke rare.
ik heb hier ook al even op gegoogeld maar daar is niks over te vinden.

hebben meer mensen dit gehad of is dit nieuw?

met vriendelijke groet,

Corné S
Reacties (15)
21-05-2014, 11:30 door [Account Verwijderd] - Bijgewerkt: 21-05-2014, 11:31
[Verwijderd]
21-05-2014, 12:57 door Britec09
gwn niet openen
21-05-2014, 13:50 door Corne.S
ik open nooit bijlages van mensen die ik niet ken of als ik er niet om gevraagd heb, ben zeer op mijn veiligheid en privacy op het internet gesteld.

ik ben altijd graag bezig met security, malware dat soort dingen,
ik vind het altijd wel interessant hoe sommige spam emails in elkaar zitten, en dus ook de eventuele malware/adware enzo die daarbij meekomt.

altijd al zulke dingen leuk gevonden, daarom heb ik als opleiding ook ICT gekozen.

heb al vaker met dit soort dingen te maken gehad maar ik dacht laat ik het toch maar even melden mocht iemand dit in zijn mail krijgen.
21-05-2014, 14:39 door Anoniem
had ik laatst ook, kijk eens naar de header.
Niets jpg bestand :)

Base64:
http://nl.wikipedia.org/wiki/Base64
21-05-2014, 15:04 door impiriumjbb
Hi Corne,

Goed dat je het hier plaatst, heb je mogelijk nog de headers van het e-mailtje? Daarmee kan je achterhalen waar het vandaag komt en welke stappen het e-mailtje heeft genomen voordat het bij jou terecht komt.

Indien je het internet een nog betere plaats wil maken dan het nu al is (lees humor) dan kan je achterhalen waar het vandaan komt en naar de abuse afdeling van desbetreffende partij een vriendelijk mailtje sturen dat je niet van ongewenste mail houd.

Meer informatie over het lezen van e-mail headers : https://www.xel.nl/helpdesk/wat-zijn-e-mail-headers/

Groeten,
Impiriumjbb
21-05-2014, 15:43 door Anoniem
Verwacht je mails uit zuid Afrika? Nee? Waar maak je je dan druk om?
.co.za is een subdomein van .za voor commercial use. https://en.wikipedia.org/wiki/.za

Heb je extensie weergave van je systeem wel op volledig weergeven staan of gaat het toevallig om dubbele extensie's in deze foto bijlagen, Photo.jpg.exe ?

Heb je de bestanden met een virusscanner gescand? Check die 9 afbeeldingen met een upload naar een online webscanner en geef de resultaten of de links daarvan hier weer als je wil.

Hoe lukt het je de foto's niet te openen en toch uitgebreid te kunnen beschrijven wie er allemaal in de afbeelding staan? Met een vergrootglas het afbeeldings icoon bekeken?
Via de html weergave in je mailbox? Dan kan je in principe al besmet zijn als het malware is. Beter is het voortaan je mails en zeker spamberichten te lezen in plain text weergave.
21-05-2014, 16:35 door Corne.S - Bijgewerkt: 21-05-2014, 16:43
Door impiriumjbb: Hi Corne,

Goed dat je het hier plaatst, heb je mogelijk nog de headers van het e-mailtje? Daarmee kan je achterhalen waar het vandaag komt en welke stappen het e-mailtje heeft genomen voordat het bij jou terecht komt.

Indien je het internet een nog betere plaats wil maken dan het nu al is (lees humor) dan kan je achterhalen waar het vandaan komt en naar de abuse afdeling van desbetreffende partij een vriendelijk mailtje sturen dat je niet van ongewenste mail houd.

Meer informatie over het lezen van e-mail headers : https://www.xel.nl/helpdesk/wat-zijn-e-mail-headers/

Groeten,
Impiriumjbb


ik heb hieronder de header geplaatst, er zat nog een heel stuk onder met random letters en cijfers(kweet niet of niet nodig zijn maar ik heb alleen het bovenste stuk gekopieerd, ik weet niet of er meer nodig is)
wel heb ik mijn eigen email adres eruit gehaald als je het niet erg vind.(ik heb deze veranderd naar MIJN-EMAIL@gmail.com)

Delivered-To: MIJN-EMAIL@gmail.com
Received: by 10.170.194.195 with SMTP id l186csp23511yke;
Tue, 20 May 2014 04:25:19 -0700 (PDT)
X-Received: by 10.194.187.240 with SMTP id fv16mr1583997wjc.81.1400585119144;
Tue, 20 May 2014 04:25:19 -0700 (PDT)
Return-Path: <27824565807@vodamail.co.za>
Received: from vodamail.co.za (relay4.vodamail.co.za. [196.11.146.166])
by mx.google.com with ESMTP id bw16si5148505wib.115.2014.05.20.04.25.15
for <MIJN-EMAIL@gmail.com>;
Tue, 20 May 2014 04:25:19 -0700 (PDT)
Received-SPF: none (google.com: 27824565807@vodamail.co.za does not designate permitted sender hosts) client-ip=196.11.146.166;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 27824565807@vodamail.co.za does not designate permitted sender hosts) smtp.mail=27824565807@vodamail.co.za
Received: from vodamail.co.za (smtp5.vodamail.internal [10.113.154.84])
by mtafscbe0608relay4.vodamail.internal (Postfix) with ESMTP id 7FF8AC0CB12C
for <MIJN-EMAIL@gmail.com>; Tue, 20 May 2014 13:25:14 +0200 (SAST)
Received: from localhost (localhost [127.0.0.1])
by mtafscbe0604smtp5.vodamail.co.za (Postfix) with ESMTP id 7107F80232D5
for <MIJN-EMAIL@gmail.com>; Tue, 20 May 2014 13:25:14 +0200 (SAST)
X-Virus-Scanned: amavisd-new at vodamail.co.za
Received: from vodamail.co.za ([127.0.0.1])
by localhost (smtp5.vodamail.internal [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id ey22CIhmAoCm for <MIJN-EMAIL@gmail.com>;
Tue, 20 May 2014 13:25:11 +0200 (SAST)
Received: from [41.29.123.208] (unknown [41.29.123.208])
by mtafscbe0604smtp5.vodamail.co.za (Postfix) with ESMTP id A056D80232D3
for <MIJN-EMAIL@gmail.com>; Tue, 20 May 2014 13:25:08 +0200 (SAST)
From: Nelia Erasmsus <27824565807@vodamail.co.za>
Content-Type: multipart/mixed; boundary=Apple-Mail-CB49F3A7-CB6D-4F11-9311-5C98DE2D2043
Message-Id: <025E942B-12DA-47C4-9774-A687FBB47A77@vodamail.co.za>
Date: Tue, 20 May 2014 13:25:03 +0200
To: "MIJN-EMAIL@gmail.com" <MIJN-EMAIL@gmail.com>
Content-Transfer-Encoding: 7bit
Mime-Version: 1.0 (1.0)
X-Mailer: iPad Mail (9B206)


--Apple-Mail-CB49F3A7-CB6D-4F11-9311-5C98DE2D2043
Content-Transfer-Encoding: 7bit
Content-Type: text/plain;
charset=us-ascii


--Apple-Mail-CB49F3A7-CB6D-4F11-9311-5C98DE2D2043
Content-Disposition: inline;
filename=photo.JPG
Content-Type: image/jpeg;
name=photo.JPG
Content-Transfer-Encoding: base64


Door Anoniem: Verwacht je mails uit zuid Afrika? Nee? Waar maak je je dan druk om?
.co.za is een subdomein van .za voor commercial use. https://en.wikipedia.org/wiki/.za

Heb je extensie weergave van je systeem wel op volledig weergeven staan of gaat het toevallig om dubbele extensie's in deze foto bijlagen, Photo.jpg.exe ?

Heb je de bestanden met een virusscanner gescand? Check die 9 afbeeldingen met een upload naar een online webscanner en geef de resultaten of de links daarvan hier weer als je wil.

Hoe lukt het je de foto's niet te openen en toch uitgebreid te kunnen beschrijven wie er allemaal in de afbeelding staan? Met een vergrootglas het afbeeldings icoon bekeken?
Via de html weergave in je mailbox? Dan kan je in principe al besmet zijn als het malware is. Beter is het voortaan je mails en zeker spamberichten te lezen in plain text weergave.

de foto's kan ik in gmail gewoon zien terwijl ik ze niet heb gedownload, ik hoef er niet op te klikken ik kan ze gewoon in het klein zien.

ik heb alle foto's gescand en bij geen van allen zegt de webbscanner(virustotal) dat er malware inzit, toch vertrouw ik het niet.

hieronder nog een link van een van de foto's die gescand zijn.
http://goo.gl/81s8vy

als er nog meer informatie nodig is hoor ik dit graag.

en nee ik verwacht geen mails uit zuid afrika, ik post dit alleen omdat ik het niet helemaal vertrouwde en ik er wat meer informatie over wilde hebben.

ik zal de emails nog een tijdje bewaren mochten ze nog nodig zijn.
23-05-2014, 11:07 door Anoniem
Door Anoniem: Verwacht je mails uit zuid Afrika? Nee? Waar maak je je dan druk om?
Die vraag lees ik hier erg vaak. Grappig is dat degene tegen wie dat gezegd wordt, zich nooit werkelijk druk lijkt te maken.
24-05-2014, 08:08 door Jan Brouwer
Als je zegt dat je de bijlagen nooit opent hoe weet je dan wat er op de .jpg fies staat??
24-05-2014, 09:19 door GerBNL
Door Jan Brouwer: Als je zegt dat je de bijlagen nooit opent hoe weet je dan wat er op de .jpg fies staat??

hehe, eindelijk iemand ;-)
24-05-2014, 10:17 door sjonniev
"de foto's kan ik in gmail gewoon zien terwijl ik ze niet heb gedownload"

Hoe denk je dat je foto's in je browser kunt zien?
26-05-2014, 08:18 door Corne.S - Bijgewerkt: 26-05-2014, 08:19
Door Jan Brouwer: Als je zegt dat je de bijlagen nooit opent hoe weet je dan wat er op de .jpg fies staat??

als ik een email krijg dan kan ik van te voren al zien wat de foto inhoud zonder het bestand te hoeven downloaden.(dit is alleen bij foto's en documenten voor zover ik weet)

http://i62.tinypic.com/1j2id4.png

hier een afbeelding van een stukje van de mail waarop de foto duidelijk te zien is.
26-05-2014, 11:39 door spatieman
vermoedelijk gaan de spammers er vanuit dat de ontvanger een ongepatchte windows heeft, die weer, geïnfecteerde images met de standaard image vieuwer opent,. en dus de machine op die manier kan besmetten.

vertrouwen is prima.
Wantrouwen !, is nog veel beter xD
26-05-2014, 12:10 door Anoniem
27824565807 is een zuid Afrikaans telefoon nummer, ik denk dus dat iemand simpelweg het verkeerde gmail adres heeft getypt. Je kunt het nummer wel bellen of sms'en.
26-05-2014, 17:58 door Guy Fawkes Maskers
ziet als spam uit
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.