分析一下这封欺诈信

0 views
Skip to first unread message

wanghx

unread,
Feb 26, 2009, 8:30:07 AM2/26/09
to qq2...@googlegroups.com, lih...@googlegroups.com
我帮你分析一下这封欺诈信:
  1. X-mailer: FastMail 1.6 [cn] 这是发信软件名称。你看,他用的是中文版的软件,大量发垃圾邮件的。所以看起来不是特别针对你一个人的,也许是针对一批人,或者无特定目标的攻击行为。但 是不排除这是国保网狗们用日常工具来执行下流任务。
    FastMail邮件特快专递1.6 下载- 华军软件园- 网络工具- 邮件处理
    2007年10月17日 ... 9. 酷邮Koomail 5.0 Beta7; 10. FastMail邮件特快专递1.6 ... 的信箱里去,不再需要中间的SMTP服务器中转了●无需申请发信帐号,支持匿名发送邮件●可 ...
    http://www.onlinedown.net/soft/17258.htm
  2. X-Originating-IP: [192.168.1.104],这是发信所用的机器 IP 地址。这是一个内网地址,说明他的机器在NAT路由器后面。
  3. Received: from Home (unknown [192.168.1.104])
    by 192.168.1.104 (Coremail),他的计算机的名字叫 Home,并且同一个 IP 地址上安装了 Coremail,也可能因为他的 email 服务器安装的是 www.mailtech.cn 的软件,所以肯定发信人是中共国的。
  4. From: "=?GB2312?B?R21haWwg0KHX6Q==?=" <mail-n...@googlemail.com> 这个 From 地址倒是看起来没有异常,不过很容易伪造。
  5. Return-Path: <mail-n...@googlemail.com> 这是 email 的信封回信地址,也是可以伪造的。
  6. Received: from googlemail.com ([125.85.199.230]) by mx.google.com,用 ipnetinfo 软件[1]查询 IP 地址 125.85.199.230 的 whois 信息,也可以在网上查 IP 地址归属地[2][3],可以知道这个地址在中共国,重庆电信 chinanet 管理范围内。可能 125.85.199.230 是这个发信人的外部 IP 地址。如果你拥有电信的入网数据,就可以查到这个具体的发信人的位置。配合发信时间,可以定位到在这个时刻发信的人是谁。
  7. 所以 googlemail.com 这个域名其实是伪造的。但是 google.com 的地址验证算法没有把它排除掉,而是判断为中性 (neutral),这是他们的失误。SPF 是 spam filter 垃圾邮件过滤器的意思。
    Received-SPF: neutral (google.com: 125.85.199.230 is neither permitted nor denied by domain of mail-n...@googlemail.com)
    Authentication-Results: mx.google.com; spf=neutral (google.com: 125.85.199.230 is neither permitted nor denied by domain of mail-n...@googlemail.com)
  8. Date: Thu, 26 Feb 2009 01:53:51 +0800 发信时间是北京时间(东八区,UTC+0800),半夜 1:53,做贼都是半夜,自然。
  9. Received: by 10.223.108.15 with SMTP 从这里开始是 google gmail 的服务器的内部地址记录信息。
  10. Delivered-To: x...@gmail.com 最终投递到你的 gmail 信箱了。
  11. X-Uidl: GmailId11fae9246e847d27&&pop.gmail.com 这是你通过 pop3 收信所打的标记,为了让你的收信软件知道哪些邮件已经读过,哪些是新的。
  12. 分析邮件头标 (header) 可以得到发信人的很多信息。同样的,你发给别人的信也可能透露很多信息。
从他给自己的机器名起名叫 Home 来看,有较大可能是个人行为。当然不排除网狗在家里加班,或者故意装作个人黑客行为。:)
你最好把整封信作为附件发给朋友分析,邮件体中也可能有些有价值的信息。

参考:
  1. ipnetinfo http://www.nirsoft.net/utils/ipnetinfo.html
  2. IP查询(搜索IP地址的地理位置) http://www.ip138.com/
  3. http://www.google.com/search?q=IP+%E5%9C%B0%E5%9D%80%E5%BD%92%E5%B1%9E%E5%9C%B0&ie=utf-8&oe=utf-8
bigasong wrote:
X-Uidl: GmailId11fae9246e847d27&&pop.gmail.com
Delivered-To: x...@gmail.com
Received: by 10.142.86.13 with SMTP id j13cs45652wfb;
        Wed, 25 Feb 2009 09:54:00 -0800 (PST)
Received: by 10.223.108.15 with SMTP id d15mr1154514fap.62.1235584435897;
        Wed, 25 Feb 2009 09:53:55 -0800 (PST)
Received: from googlemail.com ([125.85.199.230])
        by mx.google.com with SMTP id 5si3232833eyf.32.2009.02.25.09.53.54;
        Wed, 25 Feb 2009 09:53:55 -0800 (PST)
Received-SPF: neutral (google.com: 125.85.199.230 is neither permitted nor denied by domain of mail-n...@googlemail.com) client-ip=125.85.199.230;
Authentication-Results: mx.google.com; spf=neutral (google.com: 125.85.199.230 is neither permitted nor denied by domain of mail-n...@googlemail.comsmtp.mail=mail-n...@googlemail.com
Received: from Home (unknown [192.168.1.104])
by 192.168.1.104 (Coremail) with SMTP id _bJCALesoEAeAFMU.1
for <x...@gmail.com>; Thu, 26 Feb 2009 01:53:51 +0800 (CST)
X-Originating-IP: [192.168.1.104]
Date: Thu, 26 Feb 2009 01:53:51 +0800
From: "=?GB2312?B?R21haWwg0KHX6Q==?=" <mail-n...@googlemail.com>
Subject: =?GB2312?B?xPq1xEdtYWls1cq6xby0vauxu73708Mh?=
X-Priority: 1
X-mailer: FastMail 1.6 [cn]
Mime-Version: 1.0
Content-Type: multipart/alternative;
boundary="------=_Next_Part_0002369250.467"

wanghx

unread,
Feb 26, 2009, 8:32:20 AM2/26/09
to qq2...@googlegroups.com, lih...@googlegroups.com
但是不排除这是国保网狗们用日常工具来执行下流任务。比如,他们如果截取了宪
章签名收集信箱的邮件,就可以得到所有签名者的 email 地址,然后通过大批发
送钓鱼欺诈邮件的方式窃取邮箱密码,进一步入侵邮箱搜集相关联系人信息,
email,从而控制所有签名人的社会关系。

wanghx

unread,
Feb 26, 2009, 9:03:30 AM2/26/09
to qq2...@googlegroups.com, lih...@googlegroups.com
不要自作聪明。你没有足够的信息安全技术知识的话,只会上当。

比如,那个表单点击提交的时候,除了你填写的信息,还可能会发送包括你的计算机,IP 地址,所用软件,操作系统版本等等更多信息,甚至一些隐私信息。
这样你不知觉中,又向狗特务提供了更多定位、监控、更容易攻击你的信息。注意,甚至邮件中内嵌的图片,都可以用于跟踪,搜集信息!这就是为什么 gmail 和 thunderbird 默认不显示邮件中的一些图片。显示一个外部链接的图片的时候,你就会去访问那个地址,同时会泄露许多信息。

所以,好的办法是置之不理,更好的办法是向 google 报告欺诈邮件 Report phishing。

正如我以前提醒 bigasong 的,面对黑帮走狗特务,绝对不要自作聪明去说理,多话,甚至和狗特务交朋友,也不要对抗,被他们激起怒火和悲伤。怒火和悲伤都会使人判断力下降而犯错误。 他们会试图激怒你,羞辱你,也可能装朋友,演好警察坏警察的双簧戏,这是一种常用的审讯心理技术。而没有专业反审讯侦查训练的普通人,根本无法应对,多说 话只会增加中计上当的概率。

审讯中,他们必然会引诱你多说话,言多必失。你认为毫不重要的信息,可能对他 们是至关重要的线索。bigasong 上次明显上当了。我看小昭被审讯的记录,也是上当了。
在不表现对抗情绪的前提下,能沉默就尽量沉默。言多必失不但是被审讯者,审讯者也会犯这种错误。比如上次审讯 bigasong 的狗特务,就意外向大家推荐了“角马俱乐部”,哈哈哈。我以前都不知道有这个,于是好奇去看了一下,敬佩。

最好的方式是装恐惧,装傻,判断走狗不知道的事情绝对不要主动提。他们提出来多少,你就回答多少就行了。也不要以为可以感化他们而去说理。他们都不是人, 而是狗。记住这一点。他们绝对不会良心发现。良心发现的人都做不下去这种肮脏卑鄙下流的工作。

如果你不会装,真的恐惧就表现出来好了,但是要尽量坚持自己的理智底线,不要聪明反被聪明误(除非你受过间谍专业训练,我想任何律师,老百姓,都没有)。 他们就是希望你处于恐惧中,于是心理上占据优势,可以操控你。这就是为什么装恐惧反而比装镇静好的多的原因。如果你明明恐惧,但是装作镇静,他们就知道你 在装,于是会想办法打击你的自尊心,攻击你的人格,来达到控制你的目的。

刘德军 wrote:
我经常在里面输入“狗特务要应报应的”,然后点确定。

wanghx

unread,
Feb 26, 2009, 9:37:49 AM2/26/09
to qq2...@googlegroups.com, lih...@googlegroups.com
律师朋友都知道对于处于弱势的一方,沉默是金。沉默权对于被调查者是至关重要
的利权。
在自由主义法治社会,被调查人有沉默权,并且接受讯问时有权要求律师在场以保
障自己的合法利权。
这类骚扰侵权侮辱人格侵犯人身利权的强制喝茶的非法审讯方式,是政府犯罪行为。
但是在一个黑帮之国,人民暂时没有力量去抗拒这种违法犯罪。

所以有机会沉默当然要沉默,做消极应对是最好的保守处理方式。“新青年学会”
案,就是学生李宇宙
自作聪明,积极答应做国安的线人,结果不但害了朋友,连自己也流亡海外陷于危
险困境。

Reply all
Reply to author
Forward
0 new messages