The Wiert Corner – irregular stream of stuff

Jeroen W. Pluimers on .NET, C#, Delphi, databases, and personal interests

  • My badges

    Mastodon

  • Twitter Updates

  • My Flickr Stream

    20140508-Delphi-2007--Project-Options--Cannot-Edit-Application-Title-HelpFile-Icon-Theming20140430-Fiddler-Filter-Actions-Button-Run-Filterset-now20140424-VMware-Fusion-6.0.3.-no-reclaimable
    More Photos

  • Pages

  • All categories

  • Enter your email address to subscribe to this blog and receive notifications of new posts by email.

    Join 1,860 other subscribers
«
»

Fikse #phishing actie voor #XS4ALL #Secure #Webmail

Posted by jpluimers on 2011/10/31

Ik heb in mijn omgeving een phishing mail gezien zoals onderstaande.

Je ziet op de web-site een kopie van de xs4all webmail site; maar dan niet secure, en zeker niet van xs4all.

Niet op in gaan!

———- Forwarded message ———-
From: XS4ALL Internet bv <announce@xs4all.nl>
Date: Sun, 30 Oct 2011 15:42:02 -0800
Subject: E-mail account Annulering
To: …accountnaam…@xs4all.nl

Geachte gebruiker,

Dit is onze laatste waarschuwing voor u om uw account te upgraden binnen de
volgende 24 uur anders wordt uw e-mail wordt geannuleerd en u zult niet
hebben toegang tot het account.
Klik op de onderstaande link om te upgraden.

http://xs4all.ctrlhub.com

U heeft 24 uur om deze e-mail account te upgraden.
Bedankt voor uw begrip

Met vriendelijke groet,
XS4ALL Internet BV

Het lijkt een herhaling van een eerdere phishing run eind augustus.

Freak-Search had er vandaag ook al eentje, waar ook de headers bij staan: rechtstreeks vanuit Phoenix (ip 108.62.214.248) op de xs4all SMTP server afgeleverd.

Op de server van de phishing site staan ook andere sites waarvan in ieder geval een deel legitiem lijkt te zijn.

–jeroen

Edit: het origineel met headers:

Return-Path: <announce@xs4all.nl>
Received: from smtp-vbr5.xs4all.nl (smtp-vbr5.xs4all.nl [194.109.24.25])
       by mxdrop233.xs4all.nl (8.13.8/8.13.8) with ESMTP id p9UNg5JI093574
       for <...account...@xs4all.nl>; Mon, 31 Oct 2011 00:42:05 +0100 (CET)
       (envelope-from announce@xs4all.nl)
Received: from SETUP-71E06881F
(108.62.214.248.rdns.ubiquityservers.com [108.62.214.248] (may be
forged))
       (authenticated bits=0)
       by smtp-vbr5.xs4all.nl (8.13.8/8.13.8) with ESMTP id p9UNfkg7018382
       for <...account...@xs4all.nl>; Mon, 31 Oct 2011 00:41:59 +0100 (CET)
       (envelope-from announce@xs4all.nl)
From: "XS4ALL Internet bv" <announce@xs4all.nl>
Subject: E-mail account Annulering
To: ...account...@xs4all.nl
Content-Type: multipart/alternative; charset="ISO-8859-1";
boundary="vq5IP9Z6GutAsjrFSLDbPAxyCNtQ=_5axJ0"
MIME-Version: 1.0
Date: Sun, 30 Oct 2011 15:42:02 -0800
Sensitivity: Private
Message-ID: <71212678828692@smtp.xs4all.nl>
X-Virus-Scanned: by XS4ALL Virus Scanner
X-CNFS-Analysis: v=1.1 cv=BV6iOS6O7aV3pd42iKzuhu9AXfb4rD1J2pLXhYW4ImA= c=1
       sm=0 p=Cv8De4IAAAAA:8 p=9Xcd3dMEXsvCXAUVWdEA:9
       p=TmgxwhVlkHPXNhtMxGUA:9 p=xOja8WcQ0Eu_BXAgI9UA:7 a=9jgdD2efK0wA:10
       a=8nJEP1OIZ-IA:10 a=zN6mbt9uKPqgxNxLRsltVQ==:17 a=wPNLvfGTeEIA:10
       a=/zf/YJhaauBg/KYV17tUBA==:117
X-XS4ALL-Spam-Score: 3.7 (***) ALL_TRUSTED, CMAE_1, T_CMAE_1_MD
X-XS4ALL-Spam: NO
Envelope-To: ...account...@xs4all.nl

This is a multi-part message in MIME format

--vq5IP9Z6GutAsjrFSLDbPAxyCNtQ=_5axJ0
Content-Type: text/plain ; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable

Geachte gebruiker,

Dit is onze laatste waarschuwing voor u om uw account te upgraden binn=
en de
volgende 24 uur anders wordt uw e-mail wordt geannuleerd en u zult nie=
t
hebben toegang tot het account.
Klik op de onderstaande link om te upgraden.

http://xs4all.ctrlhub.com <http://xs4all.ctrlhub.com>

U heeft 24 uur om deze e-mail account te upgraden.
Bedankt voor uw begrip

Met vriendelijke groet,
XS4ALL Internet BV

--vq5IP9Z6GutAsjrFSLDbPAxyCNtQ=_5axJ0
Content-Type: text/html ; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD>
<META content=3D"MSHTML 6.00.5730.13" name=3DGENERATOR></HEAD>
<BODY>
<P>Geachte gebruiker,</P>
<P>Dit is onze laatste waarschuwing voor u om uw account te upgraden b=
innen de<BR>volgende 24 uur anders wordt uw e-mail wordt geannuleerd e=
n u zult niet<BR>hebben toegang tot het account.<BR>Klik op de onderst=
aande link om te upgraden.</P>
<P><A href=3D"http://xs4all.ctrlhub.com">http://xs4all.ctrlhub.com</A>=
</P>
<P>U heeft 24 uur om deze e-mail account te upgraden.<BR>Bedankt voor =
uw begrip</P><SPAN class=3DApple-style-span style=3D"WORD-SPACING: 0px=
; FONT: 16px 'times new roman'; TEXT-TRANSFORM: none; COLOR: rgb(0,0,0=
); TEXT-INDENT: 0px; WHITE-SPACE: normal; LETTER-SPACING: normal; BORD=
ER-COLLAPSE: separate; orphans: 2; widows: 2; -webkit-border-horizonta=
l-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-dec=
orations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text=
-stroke-width: 0px"><SPAN class=3DApple-style-span style=3D"FONT-SIZE:=
 13px; FONT-FAMILY: Arial; -webkit-border-horizontal-spacing: 5px; -we=
bkit-border-vertical-spacing: 5px"><STRONG>Met vriendelijke groet,<BR>=
XS4ALL Internet BV</STRONG><BR></SPAN></SPAN></BODY></HTML>

--vq5IP9Z6GutAsjrFSLDbPAxyCNtQ=_5axJ0--

This entry was posted on 2011/10/31 at 11:14 and is filed under LifeHacker, Power User. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

2 Responses to “Fikse #phishing actie voor #XS4ALL #Secure #Webmail”

  1. Irina's avatar

    Irina said

    2011/12/03 at 23:40

    Dear friend,
    I just have got the same letter, and it’s 3rd in a ray! The first two were asking me to e-mail them my address and password.
    And it’s not the first time, it’s 6th one!

    Irina, Amsterdam

    Reply
    • jpluimers's avatar

      jpluimers said

      2011/12/04 at 22:37

      Got one myself too; it helps that it has a SPAM score of 3.7 :)

      Delivered-To: XXXXXXXX@gmail.com
      Received: by 10.204.150.20 with SMTP id w20cs91250bkv;
      Fri, 2 Dec 2011 18:38:18 -0800 (PST)
      Received: by 10.204.154.1 with SMTP id m1mr333261bkw.107.1322879895615;
      Fri, 02 Dec 2011 18:38:15 -0800 (PST)
      Received-SPF: softfail (google.com: best guess record for domain of transitioning announce@xs4all.nl does not designate 194.109.24.33 as permitted sender) client-ip=194.109.24.33;
      Received: by 10.204.143.204 with POP3 id w12mf1987886bku.11;
      Fri, 02 Dec 2011 18:38:15 -0800 (PST)
      X-Gmail-Fetch-Info: XXXXXXXX@xs4all.nl 1 pop.xs4all.nl 110 XXXXXXXX
      Return-Path:
      Received: from smtp-vbr13.xs4all.nl (smtp-vbr13.xs4all.nl [194.109.24.33])
      by mxdrop230.xs4all.nl (8.13.8/8.13.8) with ESMTP id pB32T2v6014702
      for ; Sat, 3 Dec 2011 03:29:02 +0100 (CET)
      (envelope-from announce@xs4all.nl)
      Received: from SETUP-71E06881F ([91.228.2.86])
      (authenticated bits=0)
      by smtp-vbr13.xs4all.nl (8.13.8/8.13.8) with ESMTP id pB32SuQS034130
      for ; Sat, 3 Dec 2011 03:29:01 +0100 (CET)
      (envelope-from announce@xs4all.nl)
      From: "\"XS4ALL Internet bv\""
      Subject: E-mail account Annulering
      To: XXXXXXXX@xs4all.nl
      Content-Type: multipart/alternative; charset="ISO-8859-1"; boundary="cgKUxVT22ttbuiRNdjiDpag=_uE4LI935L0"
      MIME-Version: 1.0
      Date: Sat, 3 Dec 2011 18:29:07 -0800
      Sensitivity: Private
      Message-ID:
      X-Virus-Scanned: by XS4ALL Virus Scanner
      X-CNFS-Analysis: v=1.1 cv=BV6iOS6O7aV3pd42iKzuhu9AXfb4rD1J2pLXhYW4ImA= c=1
      sm=0 p=Cv8De4IAAAAA:8 p=9Xcd3dMEXsvCXAUVWdEA:9
      p=TmgxwhVlkHPXNhtMxGUA:9 p=xOja8WcQ0Eu_BXAgI9UA:7 a=9jgdD2efK0wA:10
      a=8nJEP1OIZ-IA:10 a=CzCW+YPiNN6S51zDiL+/jQ==:17 a=wPNLvfGTeEIA:10
      a=cnD7jmhApP7WQnsZL12s1Q==:117
      X-XS4ALL-Spam-Score: 3.7 (***) ALL_TRUSTED, CMAE_1, T_CMAE_1_MD
      X-XS4ALL-Spam: NO
      Envelope-To: XXXXXXXX@xs4all.nl

      Reply

Leave a reply to jpluimers Cancel reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

«
»