Falsk E-post ( FINN:NO )

[news.online.no]

Fikk denne e-posten nå som eg er sikker på har falsk avsender, for å lure
pasord og brukernavn ut av meg.

Jan Martin

kopi av e-posten:
Kjжre kunde,

Vi kontakter deg for е informere deg om at vеr konto Review Team
identifisert noen uvanlig aktivitet i kontoen din. I samsvar med FINN
Brukeravtale og for е sikre at kontoen din ikke har fеtt tilgang til kontoen
din ble begrenset.

Din tilgang til kontoen din forblir begrenset til dette problemet er lшst. .

http://www.finn.no/finn/myprofile/login

Vi oppfordrer deg til е logge inn og utfшre trinnene nшdvendig е
gjenopprette kontoen tilgang sе snart som mulig.
Slik at kontoen din tilgang til fortsatt begrenset for en lengre periode,
kan det fшre til ytterligere begrensninger pе bruken av kontoen din og mulig
lukking av konto.
Takk for at du bruker FINN!
__________________________________________detaljer under info om
mailen:Return-Path: <in...@finn.no>Received: from ull.telenor.net
(virus-out-st.online.no [193.212.240.200]) by mail19.nsc.no
(8.12.11/8.12.11) with ESMTP id n6CFgbIq003630 for <jam...@10.online.no>;
Sun, 12 Jul 2009 17:47:24 +0200 (MEST)Received: from mail26.e.nsc.no
(mail26.e.nsc.no [193.213.115.26]) by ull.telenor.net with ESMTP id
BT-MMP-2381097 for jam...@10.online.no; Sun, 12 Jul 2009 17:47:24
+0200Received: (from mailuser@localhost) by mail26.nsc.no (8.14.3/8.14.3) id
n6CFlOdQ022213 for jam...@10.online.no; Sun, 12 Jul 2009 17:47:24 +0200
(MEST)Received: from smtp.netcentral.co.uk (smtp1.keele.netcentral.co.uk
[212.57.235.194]) by mail26.nsc.no (8.14.3/8.14.3) with ESMTP id
n6CFl4AW021483; Sun, 12 Jul 2009 17:47:13 +0200 (MEST)Received: from
industrialswitchgear.co.uk (reverse.keele.netcentral.co.uk [212.57.228.143]
(may be forged)) by smtp.netcentral.co.uk (8.13.4/8.13.4) with ESMTP id
n6CFdVGv011118; Sun, 12 Jul 2009 16:43:22 +0100Received: from User
([66.109.160.210]) by industrialswitchgear.co.uk with Microsoft
SMTPSVC(6.0.3790.3959); Sun, 12 Jul 2009 16:43:11 +0100From: "FINN"
<in...@finn.no>Subject: Uvanlig aktivitet i kontoen din !!Date: Sun, 12 Jul
2009 11:44:07 -0400MIME-Version: 1.0Content-Type: text/html;
charset="Windows-1251"Content-Transfer-Encoding: 7bitX-Priority:
1X-MSMail-Priority: HighX-Mailer: Microsoft Outlook Express
6.00.2800.1081X-MimeOLE: Produced By Microsoft MimeOLE
V6.00.2800.1081Bcc:Message-ID:
<ISSERVERPzQT4...@industrialswitchgear.co.uk>X-OriginalArrivalTime:
12 Jul 2009 15:43:11.0612 (UTC) FILETIME=[7631F3C0:01CA0307]Received-SPF:
neutral (smtp.netcentral.co.uk: 212.57.228.143 is neither permitted nor
denied by domain of in...@finn.no) receiver=smtp.netcentral.co.uk;
client-ip=212.57.228.143; helo=industrialswitchgear.co.uk;
envelope-from=in...@finn.no; x-software=spfmilter 0.95
http://www.acme.com/software/spfmilter/ with libspf2;X-Xxroufqwki: sw=gld
ver=1.2 d=0s tld=uk st=wipX-XClient-IP-Addr: 212.57.235.194

[Ina Faye-Lund]

"news.online.no" <jan.martin...@online.no> writes:

> Fikk denne e-posten n� som eg er sikker p� har falsk avsender, for �

> lure pasord og brukernavn ut av meg.

Stemmer nok det, ja. Ser for�vrig ut til � ha blitt kj�rt gjennom et
eller annet oversettelsesprogram...

>Return-Path: <in...@finn.no>

> Received: from ull.telenor.net (virus-out-st.online.no
> [193.212.240.200]) by mail19.nsc.no (8.12.11/8.12.11) with ESMTP id
> n6CFgbIq003630 for <jam...@10.online.no>; Sun, 12 Jul 2009 17:47:24
> +0200 (MEST)

> Received: from mail26.e.nsc.no (mail26.e.nsc.no [193.213.115.26]) by
> ull.telenor.net with ESMTP id BT-MMP-2381097 for
> jam...@10.online.no; Sun, 12 Jul 2009 17:47:24 +0200

> Received: (from mailuser@localhost) by mail26.nsc.no (8.14.3/8.14.3)
> id n6CFlOdQ022213 for jam...@10.online.no; Sun, 12 Jul 2009 17:47:24
> +0200 (MEST)

> Received: from smtp.netcentral.co.uk (smtp1.keele.netcentral.co.uk
> [212.57.235.194]) by mail26.nsc.no (8.14.3/8.14.3) with ESMTP id
> n6CFl4AW021483; Sun, 12 Jul 2009 17:47:13 +0200 (MEST)

Dette er den siste p�litelige linjen (dvs din egen mail-leverand�r)

> Received: from industrialswitchgear.co.uk
> (reverse.keele.netcentral.co.uk [212.57.228.143] (may be forged)) by
> smtp.netcentral.co.uk (8.13.4/8.13.4) with ESMTP id n6CFdVGv011118;
> Sun, 12 Jul 2009 16:43:22 +0100

Denne kan v�re falsk, men den ser grei ut, og b�de 212.57.235.194 og
212.57.228.143 er mailservere. Det ser imidlertid ut til at disse
enten har en relayende server, eller at de har en kunde hos seg som
har sendt dette, alternativt en av kundene deres har f�tt
kompromittert sin konto. Kontaktadresse her er
sup...@netcentral.co.uk, du kan sikkert ogs� pr�ve
ab...@netcentral.co.uk.

> Received: from User ([66.109.160.210]) by
> industrialswitchgear.co.uk with Microsoft SMTPSVC(6.0.3790.3959);
> Sun, 12 Jul 2009 16:43:11 +0100

Ser ut til � komme herfra. 66.109.160.210 tilh�rer Fibernet i West
Virginia, som er en ISP, nettet er videre tildelt Ellis and Ellis Chas.

CustName: Ellis and Ellis Chas.
Address: 707 Virginia St East
City: Charleston
StateProv: WV
PostalCode: 25301
Country: US
RegDate: 2002-09-20
Updated: 2002-09-20

NetRange: 66.109.160.208 - 66.109.160.215
CIDR: 66.109.160.208/29
NetName: ELLISANDELLISCHAS-NET1
NetHandle: NET-66-109-160-208-1
Parent: NET-66-109-160-0-1
NetType: Reassigned
Comment:
RegDate: 2002-09-20
Updated: 2002-09-20

RTechHandle: JB1277-ARIN
RTechName: Belcher, Jack
RTechPhone: +1-304-720-2198
RTechEmail: jbel...@wvfibernet.net

OrgTechHandle: FIA2-ARIN
OrgTechName: FiberNet IP Administrator
OrgTechPhone: +1-304-720-0200
OrgTechEmail: ipa...@wvfibernet.net

> Date: Sun, 12 Jul 2009 11:44:07 -0400

Det kan fors�vidt ogs� stemme med tidssonen; normalt sender
ikke folk i Norge med -0400 som tidssone. Det er imidlertid denne
tidssonen West Virginia ligger i n� om sommeren...

--
The brim of my hat hides the eye of a beast
I've the face of a sinner but the hands of a priest
Oh you'll never see my shade or hear the sound of my feet
When there's a moon over Bourbon Street

[Christian Kavli]

* news.online.no @ 12.07.2009 18:57:

> Fikk denne e-posten nå som eg er sikker på har falsk avsender, for å
> lure pasord og brukernavn ut av meg.

Se forsiden av finn.no. De rapporterer om et phishing-angrep:

"Melding fra FINN.no

ADVARSEL: Det foregår nå phishing-forsøk via e-post som tilsynelatende
er fra FINN.no. Ikke svar på e-posten, ikke klikk på linker eller
oppgi personlige opplysninger som personnummer, passord eller
lignende. Følg linken til Forbrukertrygghet nederst på siden for mer
informasjon."

--
christian,
www.ckavli.com

"Assumption is the mother of all fuckups"

[Thomas Skogestad]

* news.online.no

| Din tilgang til kontoen din forblir begrenset til dette problemet er lшst. .
|
| http://www.finn.no/finn/myprofile/login

Hvordan kan dette føre til andre enn Finn får opplysninger om deg?

--
Thomas Skogestad

[Ina Faye-Lund]

Thomas Skogestad <barryg...@gmail.com> writes:

> * news.online.no
>
> | Din tilgang til kontoen din forblir begrenset til dette problemet er lž˙ Hst. .
> |
> | http://www.finn.no/finn/myprofile/login
>
> Hvordan kan dette fž˙ ųre til andre enn Finn fž˙ år opplysninger om deg?

Fordi linken ser egentlig slik ut (har erstattet <> med () i tilfelle
noen newslesere velger ž˙ å lese dette som HTML):

(a
href="http://bosniacul.freeoda.com/ubi/home_qui_ubi.jsp.htm")http://www.finn.no/finn/myprofile/login(/a)

[Christian Kavli]

* Ina Faye-Lund @ 16.07.2009 14:19:
> 周潭慳⁓歯来獴慤‼扡牲祧潯搮扩穀杭慩氮捯派⁷物瑥猺ഊഊ㸠⨠湥睳⹯湬楮攮湯‍ਾ‍ਾ⁼⁄楮⁴楬条湧⁴楬潮瑯敮⁤楮⁦潲扬楲⁢敧牥湳整⁴楬⁤整瑥⁰牯扬敭整⁥爠泾＄䡳琮‮ഊ㸠簍ਾ⁼††⁨瑴瀺⼯睷眮晩湮⹮漯晩湮⽭祰牯晩汥⽬潧楮ഊ㸠ഊ㸠䡶潲摡渠歡渠摥瑴攠曾＀攠瑩氠慮摲攠敮渠䙩湮⁦å爠潰灬祳湩湧敲洠摥朿ഊഊ䙯牤椠汩湫敮⁳敲⁥来湴汩朠獬楫⁵琠⡨慲⁥牳瑡瑴整‼㸠浥搠⠩⁩⁴楬晥汬攍੮潥渠湥睳汥獥牥⁶敬来爠å敳攠摥瑴攠獯洠䡔䵌⤺ഊഊ⡡ഊ桲敦㴢桴瑰㨯⽢潳湩慣畬⹦牥敯摡⹣潭⽵扩⽨潭敟煵楟畢椮橳瀮桴洢⥨瑴瀺⼯睷眮晩湮⹮漯晩湮⽭祰牯晩汥⽬潧楮⠯愩ഊഊഊⴭ‍੔桥⁢物洠潦礠桡琠桩摥猠瑨攠敹攠潦⁡⁢敡獴ഊ䤧癥⁴桥⁦慣攠潦⁡⁳楮湥爠扵琠瑨攠桡湤猠潦⁡⁰物敳琍੏栠祯甧汬敶敲⁳�•
�礠獨慤攠潲⁨敡爠瑨攠獯畮搠潦礠晥整ഊ坨敮⁴桥牥❳⁡潯渠潶敲⁂潵牢潮⁓瑲敥琍
Er det noe med tegnsettet ditt som gjør at meldingene din blir litt
uleselige?
--
christian ;)

[Ina Faye-Lund]

Christian Kavli <c...@ckavli.com> writes:

> Er det noe med tegnsettet ditt som gj�r at meldingene din blir litt
> uleselige?

Huh... Tror ikke det...

Det jeg sa, var ihvertfall at det er fordi linken egentlig ser slik
ut, der < og > er erstattet med ( og ) for � unng� at det blir vist
som html.

[Thomas Skogestad]

* Ina Faye-Lund

| http://bosniacul.freeoda.com/ubi/home_qui_ubi.jsp.htm

Friefox (3.5) blokkerer denne ("Reported Web Forgery!"), mens IE (8) viser
den uten noe form for varsel.

Men det st�r at "This account was terminated for terms infringement or bad
file permissions have been set by account owner."
("terms" = http://www.freewebhostingarea.com/agreement.html)

Etter litt leting i menyene i IE finner jeg ut at "SmartScreen Filter checked
this website and did not report any threats."

--
Thomas Skogestad

[Christian Kavli]

* Ina Faye-Lund @ 16.07.2009 14:50:
> Huh... Tror ikke det...

Nå var det leselig, men i forrige melding var det kun kinesiske tegn.
Vet å endre koding fikk jeg frem hva du skrev.

Forrige melding postet du med 'text/plain; charset=utf-16be', men nå
var det 'text/plain; charset=iso-8859-1'.