The Wiert Corner – irregular stream of stuff

Jeroen W. Pluimers on .NET, C#, Delphi, databases, and personal interests

  • My badges

  • Twitter Updates

  • My Flickr Stream

  • Pages

  • All categories

  • Enter your email address to subscribe to this blog and receive notifications of new posts by email.

    Join 1,640 other followers

Fikse #phishing actie voor #XS4ALL #Secure #Webmail

Posted by jpluimers on 2011/10/31

Ik heb in mijn omgeving een phishing mail gezien zoals onderstaande.

Je ziet op de web-site een kopie van de xs4all webmail site; maar dan niet secure, en zeker niet van xs4all.

Niet op in gaan!

———- Forwarded message ———-
From: XS4ALL Internet bv <announce@xs4all.nl>
Date: Sun, 30 Oct 2011 15:42:02 -0800
Subject: E-mail account Annulering
To: …accountnaam…@xs4all.nl

Geachte gebruiker,

Dit is onze laatste waarschuwing voor u om uw account te upgraden binnen de
volgende 24 uur anders wordt uw e-mail wordt geannuleerd en u zult niet
hebben toegang tot het account.
Klik op de onderstaande link om te upgraden.

http://xs4all.ctrlhub.com

U heeft 24 uur om deze e-mail account te upgraden.
Bedankt voor uw begrip

Met vriendelijke groet,
XS4ALL Internet BV

Het lijkt een herhaling van een eerdere phishing run eind augustus.

Freak-Search had er vandaag ook al eentje, waar ook de headers bij staan: rechtstreeks vanuit Phoenix (ip 108.62.214.248) op de xs4all SMTP server afgeleverd.

Op de server van de phishing site staan ook andere sites waarvan in ieder geval een deel legitiem lijkt te zijn.

–jeroen

Edit: het origineel met headers:

Return-Path: <announce@xs4all.nl>
Received: from smtp-vbr5.xs4all.nl (smtp-vbr5.xs4all.nl [194.109.24.25])
       by mxdrop233.xs4all.nl (8.13.8/8.13.8) with ESMTP id p9UNg5JI093574
       for <...account...@xs4all.nl>; Mon, 31 Oct 2011 00:42:05 +0100 (CET)
       (envelope-from announce@xs4all.nl)
Received: from SETUP-71E06881F
(108.62.214.248.rdns.ubiquityservers.com [108.62.214.248] (may be
forged))
       (authenticated bits=0)
       by smtp-vbr5.xs4all.nl (8.13.8/8.13.8) with ESMTP id p9UNfkg7018382
       for <...account...@xs4all.nl>; Mon, 31 Oct 2011 00:41:59 +0100 (CET)
       (envelope-from announce@xs4all.nl)
From: "XS4ALL Internet bv" <announce@xs4all.nl>
Subject: E-mail account Annulering
To: ...account...@xs4all.nl
Content-Type: multipart/alternative; charset="ISO-8859-1";
boundary="vq5IP9Z6GutAsjrFSLDbPAxyCNtQ=_5axJ0"
MIME-Version: 1.0
Date: Sun, 30 Oct 2011 15:42:02 -0800
Sensitivity: Private
Message-ID: <71212678828692@smtp.xs4all.nl>
X-Virus-Scanned: by XS4ALL Virus Scanner
X-CNFS-Analysis: v=1.1 cv=BV6iOS6O7aV3pd42iKzuhu9AXfb4rD1J2pLXhYW4ImA= c=1
       sm=0 p=Cv8De4IAAAAA:8 p=9Xcd3dMEXsvCXAUVWdEA:9
       p=TmgxwhVlkHPXNhtMxGUA:9 p=xOja8WcQ0Eu_BXAgI9UA:7 a=9jgdD2efK0wA:10
       a=8nJEP1OIZ-IA:10 a=zN6mbt9uKPqgxNxLRsltVQ==:17 a=wPNLvfGTeEIA:10
       a=/zf/YJhaauBg/KYV17tUBA==:117
X-XS4ALL-Spam-Score: 3.7 (***) ALL_TRUSTED, CMAE_1, T_CMAE_1_MD
X-XS4ALL-Spam: NO
Envelope-To: ...account...@xs4all.nl

This is a multi-part message in MIME format

--vq5IP9Z6GutAsjrFSLDbPAxyCNtQ=_5axJ0
Content-Type: text/plain ; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable

Geachte gebruiker,

Dit is onze laatste waarschuwing voor u om uw account te upgraden binn=
en de
volgende 24 uur anders wordt uw e-mail wordt geannuleerd en u zult nie=
t
hebben toegang tot het account.
Klik op de onderstaande link om te upgraden.

http://xs4all.ctrlhub.com <http://xs4all.ctrlhub.com>

U heeft 24 uur om deze e-mail account te upgraden.
Bedankt voor uw begrip

Met vriendelijke groet,
XS4ALL Internet BV

--vq5IP9Z6GutAsjrFSLDbPAxyCNtQ=_5axJ0
Content-Type: text/html ; charset="ISO-8859-1"
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD>
<META content=3D"MSHTML 6.00.5730.13" name=3DGENERATOR></HEAD>
<BODY>
<P>Geachte gebruiker,</P>
<P>Dit is onze laatste waarschuwing voor u om uw account te upgraden b=
innen de<BR>volgende 24 uur anders wordt uw e-mail wordt geannuleerd e=
n u zult niet<BR>hebben toegang tot het account.<BR>Klik op de onderst=
aande link om te upgraden.</P>
<P><A href=3D"http://xs4all.ctrlhub.com">http://xs4all.ctrlhub.com</A>=
</P>
<P>U heeft 24 uur om deze e-mail account te upgraden.<BR>Bedankt voor =
uw begrip</P><SPAN class=3DApple-style-span style=3D"WORD-SPACING: 0px=
; FONT: 16px 'times new roman'; TEXT-TRANSFORM: none; COLOR: rgb(0,0,0=
); TEXT-INDENT: 0px; WHITE-SPACE: normal; LETTER-SPACING: normal; BORD=
ER-COLLAPSE: separate; orphans: 2; widows: 2; -webkit-border-horizonta=
l-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-dec=
orations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text=
-stroke-width: 0px"><SPAN class=3DApple-style-span style=3D"FONT-SIZE:=
 13px; FONT-FAMILY: Arial; -webkit-border-horizontal-spacing: 5px; -we=
bkit-border-vertical-spacing: 5px"><STRONG>Met vriendelijke groet,<BR>=
XS4ALL Internet BV</STRONG><BR></SPAN></SPAN></BODY></HTML>

--vq5IP9Z6GutAsjrFSLDbPAxyCNtQ=_5axJ0--

2 Responses to “Fikse #phishing actie voor #XS4ALL #Secure #Webmail”

  1. Irina said

    Dear friend,
    I just have got the same letter, and it’s 3rd in a ray! The first two were asking me to e-mail them my address and password.
    And it’s not the first time, it’s 6th one!

    Irina, Amsterdam

    • jpluimers said

      Got one myself too; it helps that it has a SPAM score of 3.7 :)

      Delivered-To: XXXXXXXX@gmail.com
      Received: by 10.204.150.20 with SMTP id w20cs91250bkv;
      Fri, 2 Dec 2011 18:38:18 -0800 (PST)
      Received: by 10.204.154.1 with SMTP id m1mr333261bkw.107.1322879895615;
      Fri, 02 Dec 2011 18:38:15 -0800 (PST)
      Received-SPF: softfail (google.com: best guess record for domain of transitioning announce@xs4all.nl does not designate 194.109.24.33 as permitted sender) client-ip=194.109.24.33;
      Received: by 10.204.143.204 with POP3 id w12mf1987886bku.11;
      Fri, 02 Dec 2011 18:38:15 -0800 (PST)
      X-Gmail-Fetch-Info: XXXXXXXX@xs4all.nl 1 pop.xs4all.nl 110 XXXXXXXX
      Return-Path:
      Received: from smtp-vbr13.xs4all.nl (smtp-vbr13.xs4all.nl [194.109.24.33])
      by mxdrop230.xs4all.nl (8.13.8/8.13.8) with ESMTP id pB32T2v6014702
      for ; Sat, 3 Dec 2011 03:29:02 +0100 (CET)
      (envelope-from announce@xs4all.nl)
      Received: from SETUP-71E06881F ([91.228.2.86])
      (authenticated bits=0)
      by smtp-vbr13.xs4all.nl (8.13.8/8.13.8) with ESMTP id pB32SuQS034130
      for ; Sat, 3 Dec 2011 03:29:01 +0100 (CET)
      (envelope-from announce@xs4all.nl)
      From: "\"XS4ALL Internet bv\""
      Subject: E-mail account Annulering
      To: XXXXXXXX@xs4all.nl
      Content-Type: multipart/alternative; charset="ISO-8859-1"; boundary="cgKUxVT22ttbuiRNdjiDpag=_uE4LI935L0"
      MIME-Version: 1.0
      Date: Sat, 3 Dec 2011 18:29:07 -0800
      Sensitivity: Private
      Message-ID:
      X-Virus-Scanned: by XS4ALL Virus Scanner
      X-CNFS-Analysis: v=1.1 cv=BV6iOS6O7aV3pd42iKzuhu9AXfb4rD1J2pLXhYW4ImA= c=1
      sm=0 p=Cv8De4IAAAAA:8 p=9Xcd3dMEXsvCXAUVWdEA:9
      p=TmgxwhVlkHPXNhtMxGUA:9 p=xOja8WcQ0Eu_BXAgI9UA:7 a=9jgdD2efK0wA:10
      a=8nJEP1OIZ-IA:10 a=CzCW+YPiNN6S51zDiL+/jQ==:17 a=wPNLvfGTeEIA:10
      a=cnD7jmhApP7WQnsZL12s1Q==:117
      X-XS4ALL-Spam-Score: 3.7 (***) ALL_TRUSTED, CMAE_1, T_CMAE_1_MD
      X-XS4ALL-Spam: NO
      Envelope-To: XXXXXXXX@xs4all.nl

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

 
%d bloggers like this: