---

Hej

Har lige fået 3 email som "så ud" som om de var sendt fra ebay
online-auktion. Her bad de om mit password og kreditkortoplysninger via det
link man skulle klikke på.
Det så MEGET rigtigt ud, men jeg havde min mistanke så ved at kigge i
headeren på afsenderen fremkom bl.a. følgende:

from gw.energotusimice.cz (localhost [127.0.0.1]) by gw.energotusimice.cz
(8.11.6/8.11.6) with SMTP id i6U6CBr00374

Det så ikke særlig ebay'sk ud at det skulle være afsendt fra Tjekkiet.
Klikkede man på linket skrev den lige kortvarigt IP adressen på fake
hjemmesiden 212.24.156.2
Jeg har for 45 min. siden anmeldt det til ebay som åbenbart har gjort et
eller andet fordi når er webserveren "død".
Jeg vil dog også gerne anmelde det til ALT det politi osv. som jeg kan.

Heldigvis har jeg INTET indtastet af oplysninger men kunne da frygte at
ANDRE er gået i fælden med afskyelige tab til følge.

--
Tom

---

"Tom" <tom_christensen(snabela)bigfoot.com> skrev i en meddelelse

> Har lige fået 3 email som "så ud" som om de var sendt fra ebay
> online-auktion. Her bad de om mit password og kreditkortoplysninger via
det
> link man skulle klikke på.
> Det så MEGET rigtigt ud, men det så ikke særlig ebay'sk ud at det skulle
være afsendt fra Tjekkiet.
> Jeg vil gerne anmelde det til ALT det politi osv. som jeg kan.

Jeg kan bidrage med email adr til Bagmands-politiet: econ.crime@post.tele.dk

Mvh John

---

Den Fri, 30 Jul 2004 20:31:02 +0200 skrev John:
>
> "Tom" <tom_christensen(snabela)bigfoot.com> skrev i en meddelelse
>
>> Har lige fået 3 email som "så ud" som om de var sendt fra ebay
>> online-auktion. Her bad de om mit password og kreditkortoplysninger via
> det
>> link man skulle klikke på.
>> Det så MEGET rigtigt ud, men det så ikke særlig ebay'sk ud at det skulle
> være afsendt fra Tjekkiet.
>> Jeg vil gerne anmelde det til ALT det politi osv. som jeg kan.
>
> Jeg kan bidrage med email adr til Bagmands-politiet: econ.crime@post.tele.dk

Den lyder lige så suspekt som Ebay-adressen. Hvorfor pokker skulle
bagmands-politiet have en almindelig TeleDanmark privatkunde-adresse?
Mon ikke de skulle kunne få en aftale med politiet.dk om at få en
adresse der?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 30 Jul 2004 18:36:23 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> Jeg kan bidrage med email adr til Bagmands-politiet: econ.crime@post.tele.dk
>
>Den lyder lige så suspekt som Ebay-adressen. Hvorfor pokker skulle
>bagmands-politiet have en almindelig TeleDanmark privatkunde-adresse?

Politiet bruger ikke mail på samme måde som andre, så de har ved kreativitet
fået nogle e-mail adresser der virker, på trods af ledelsen. Se her:

http://www.information.dk/Indgang/VisArkiv.dna?pArtNo=20040513159382.txt

--

Med venlig hilsen
Kurt Brixen

---

Den Fri, 30 Jul 2004 21:10:50 +0200 skrev Kurt Brixen:
> On 30 Jul 2004 18:36:23 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Jeg kan bidrage med email adr til Bagmands-politiet: econ.crime@post.tele.dk
>>
>>Den lyder lige så suspekt som Ebay-adressen. Hvorfor pokker skulle
>>bagmands-politiet have en almindelig TeleDanmark privatkunde-adresse?
>
> Politiet bruger ikke mail på samme måde som andre, så de har ved kreativitet
> fået nogle e-mail adresser der virker, på trods af ledelsen. Se her:
>
> http://www.information.dk/Indgang/VisArkiv.dna?pArtNo=20040513159382.txt

Der står de bruger hotmail-adresser.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 30 Jul 2004 23:16:45 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Der står de bruger hotmail-adresser.

Du har ret. Jeg havde læst artiklen da den var i avisen for over en måned siden,
og huskede det som om de brugte alle mulige gratis-adresser.

--

Med venlig hilsen
Kurt Brixen

---

Den Fri, 30 Jul 2004 20:12:34 +0200 skrev Tom:
> Hej
>
> Har lige fået 3 email som "så ud" som om de var sendt fra ebay
> online-auktion. Her bad de om mit password og kreditkortoplysninger via det
> link man skulle klikke på.
> Det så MEGET rigtigt ud, men jeg havde min mistanke så ved at kigge i
> headeren på afsenderen fremkom bl.a. følgende:
>
> from gw.energotusimice.cz (localhost [127.0.0.1]) by gw.energotusimice.cz
> (8.11.6/8.11.6) with SMTP id i6U6CBr00374
>
> Det så ikke særlig ebay'sk ud at det skulle være afsendt fra Tjekkiet.
> Klikkede man på linket skrev den lige kortvarigt IP adressen på fake
> hjemmesiden 212.24.156.2
> Jeg har for 45 min. siden anmeldt det til ebay som åbenbart har gjort et
> eller andet fordi når er webserveren "død".
> Jeg vil dog også gerne anmelde det til ALT det politi osv. som jeg kan.

Det bliver ikke mere effektivt af at melde det to steder, og Ebay skal
nok tage fat i de rigtige folk. Lige netop den type mails er banker
og lignende meget opmærksomme på for tiden, så der skal nok ske noget.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Tom skrev bl.a.:
> Hej
>
> Har lige fået 3 email som "så ud" som om de var sendt fra ebay
> online-auktion. Her bad de om mit password og
> kreditkortoplysninger via det link man skulle klikke på.
> Det så MEGET rigtigt ud, men jeg havde min mistanke så ved at
> kigge i headeren på afsenderen fremkom bl.a. følgende:
>
Det kaldes Phishing mails.
Her er en mail fra www.csis.dk

Prøv lige at køre det quiz og du ville blive overrasket
Der er klippet i mailen.

<klip>

Det danske sikkerhedsfirma CSIS har igennem det seneste år haft
fokus på Phishing problematikken og har i den forbindelse opnået
medlemskab i den internationale organisation AntiPhishing Working
Group (APWG).

En undersøgelse gennemført af virksomheden Mailfrontier Inc.
afslører, at op mod 28 procent af almindelig brugere, fortsat
ikke kan skelne mellem falske og legitime mails. De lader sig
lokke af typiske Phishing mails fra velrenomerede firmaer der
tidligere har været mål for mange Phishing forsøg, herunder bl.a.
PayPal, eBay, US Bank, Visa, CitiBank med flere.

Undersøgelsen gennemført af Mailfrontier tager udgangspunkt i
allerede eksisterende Phishing eksempler, som i længere tid har
været aktivt misbrugt af kriminelle Phishere. Testen afslører at
et stort antal brugere fortsat lader sig lokke.

Hvis du mener, at du kan gøre det bedre, så kan Phishing quizen
fra Mailfrontier findes på følgende adresse:
http://survey.mailfrontier.com/survey/quiztest.html


Generelle oplysninger om Phishing kan findes på adressen:
http://www.csis.dk/default.asp?m=120

<klip>
--
MVH Lars
- Enlig far til en lille dreng
http://www.kaspers-verden.dk

---

Den Fri, 30 Jul 2004 20:43:29 +0200 skrev Lars Raaby:
>
> Hvis du mener, at du kan gøre det bedre, så kan Phishing quizen
> fra Mailfrontier findes på følgende adresse:
> http://survey.mailfrontier.com/survey/quiztest.html

Realistisk test? Det første man gør er at holde musen hen over
linken, og der står:

http://survey.mailfrontier.com/survey/phishingtest/message_1/message1.htm#

Men de påstår at bl.a. MSN mail'en er legitimate, selvom linksene
overhovedet ikke peger i retning af hverken MSN eller Microsoft.

View source viser noget javascript der ser ud til at være beregnet til
at snyde browseren på præcis samme måde som phishing-mails'ene - hvis
det er meningen, så vil jeg da kalde det en urealistisk test, da den
gør at os der har sikret os imod den slags tricks bliver snydt.

Derudover: Normalt bliver mails fra MSN sendt til ens hotmail-adresse,
og ikke til johndoe@fraudtest.com, hvorved de kan bruge interne
adresser (der forhåbentligt ikke kan fakes) som afsender.

Rent ud sagt, jeg har set fake mails fra MS der ser mere realistiske
ud end deres såkaldte "legitimate".

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
>
> Den Fri, 30 Jul 2004 20:43:29 +0200 skrev Lars Raaby:
> >
> > Hvis du mener, at du kan gøre det bedre, så kan Phishing quizen
> > fra Mailfrontier findes på følgende adresse:
> > http://survey.mailfrontier.com/survey/quiztest.html
>
> Realistisk test?

Ubrugelig test udfra min vurdering. De har jo fjernet
stort set alle de oplysninger jeg ville vurdere en
mail udfra. Hvor er f.eks. alle received headerne, og
hvor er linkene?

Med de konkrete eksempler ville jeg selvfølgelig nemt
selv have kunnet afvise dem alle som fup, fordi jeg
ikke har nogen forbindelser til de pågældende firmaer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.

---

"Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en meddelelse
news:410B1F31.63036BB6@nospam.lir.dk.invalid...

Hej Kasper,

> Ubrugelig test udfra min vurdering. De har jo fjernet
> stort set alle de oplysninger jeg ville vurdere en
> mail udfra. Hvor er f.eks. alle received headerne, og
> hvor er linkene?

Det er korrekt, at man i denne test har undladt data om de pågældende mails,
som ville være brugbare for personer, som ved hvad man skal kigge efter, men
det er der, efter min mening flere åbenlyse grunde til:

1) Komplette headere vil afsløre oplysninger om evt. trojan/proxy inficerede
maskiner/SMTP relays.

2) Hvis der medtages links må man forvente:
- #404 ved de eksempler der reelt er medtaget som Phishing. Siderne nedtages
løbende. Jeg vil dog meget gerne høre, hvis nogen kan foreslå, hvordan det
kan gøres på en mere realistisk måde.
- at flere juridiske perspektiver skal overvejes, hvis en bruger eksempelvis
følger et medtaget "live" link og "dumt" opgiver oplysninger til en Phisher
der optræder i en test for at oplyse om faren ved Phishing.

> Med de konkrete eksempler ville jeg selvfølgelig nemt
> selv have kunnet afvise dem alle som fup, fordi jeg
> ikke har nogen forbindelser til de pågældende firmaer.

Korrekt, og det bør i virkeligheden være forståeligt for mange, men faktum
påviser det modsatte.

Venligst
Peter Kruse
http://www.csis.dk

---

Den Sat, 31 Jul 2004 12:55:56 +0200 skrev Peter Kruse:
> "Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en meddelelse
> news:410B1F31.63036BB6@nospam.lir.dk.invalid...
>
> Hej Kasper,
>
>> Ubrugelig test udfra min vurdering. De har jo fjernet
>> stort set alle de oplysninger jeg ville vurdere en
>> mail udfra. Hvor er f.eks. alle received headerne, og
>> hvor er linkene?
>
> Det er korrekt, at man i denne test har undladt data om de pågældende mails,
> som ville være brugbare for personer, som ved hvad man skal kigge efter, men
> det er der, efter min mening flere åbenlyse grunde til:
>
> 1) Komplette headere vil afsløre oplysninger om evt. trojan/proxy inficerede
> maskiner/SMTP relays.
>
> 2) Hvis der medtages links må man forvente:
> - #404 ved de eksempler der reelt er medtaget som Phishing. Siderne nedtages
> løbende. Jeg vil dog meget gerne høre, hvis nogen kan foreslå, hvordan det
> kan gøres på en mere realistisk måde.
> - at flere juridiske perspektiver skal overvejes, hvis en bruger eksempelvis
> følger et medtaget "live" link og "dumt" opgiver oplysninger til en Phisher
> der optræder i en test for at oplyse om faren ved Phishing.

Når vi hverken har headers eller links, har vi sådanset kun nedenstående
at vurdere ud fra:

>> Med de konkrete eksempler ville jeg selvfølgelig nemt
>> selv have kunnet afvise dem alle som fup, fordi jeg
>> ikke har nogen forbindelser til de pågældende firmaer.

Og dermed vil de allesammen være enten fake eller spam, selvom sitet
påstår de er legitimate.

Og så er det sitet der er dumpet testen.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev i en meddelelse:
> Den Sat, 31 Jul 2004 12:55:56 +0200 skrev Peter Kruse:
> > "Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en
meddelelse
> > news:410B1F31.63036BB6@nospam.lir.dk.invalid...
[...]
> >> Med de konkrete eksempler ville jeg selvfølgelig nemt
> >> selv have kunnet afvise dem alle som fup, fordi jeg
> >> ikke har nogen forbindelser til de pågældende firmaer.
>
> Og dermed vil de allesammen være enten fake eller spam, selvom sitet
> påstår de er legitimate.

Men nu er det jo ikke jer der har fået de mails. Dem der har modtaget de
rigtige mails må have en forbindelse til firmaet. Men det kan jo være meget
sjovt at se hvor god man er til at spotte Phishings.

Malthe Sunesen

---

Den Mon, 2 Aug 2004 05:24:34 +0200 skrev Malthe Sunesen:
> Kent Friis skrev i en meddelelse:
>> Den Sat, 31 Jul 2004 12:55:56 +0200 skrev Peter Kruse:
>> > "Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en
> meddelelse
>> > news:410B1F31.63036BB6@nospam.lir.dk.invalid...
> [...]
>> >> Med de konkrete eksempler ville jeg selvfølgelig nemt
>> >> selv have kunnet afvise dem alle som fup, fordi jeg
>> >> ikke har nogen forbindelser til de pågældende firmaer.
>>
>> Og dermed vil de allesammen være enten fake eller spam, selvom sitet
>> påstår de er legitimate.
>
> Men nu er det jo ikke jer der har fået de mails. Dem der har modtaget de
> rigtige mails må have en forbindelse til firmaet. Men det kan jo være meget
> sjovt at se hvor god man er til at spotte Phishings.

Det vi forsøger at sige er at testen er ubrugelig, når de ting vi har at
gå ud fra alle tyder i retning fake.

Vi kan jo ikke vide om manden var kunde hos Hotmail, eller hos E-bay.
Derfor kan vi ikke tage udgangspunkt i det. Linksene peger ikke på
Hotmail, hvilken tyder kraftigt på at det er en fake mail. Og headerne
er fjernet, så selv dem kan vi ikke bruge.

Hvad er der så tilbage at gå ud fra? Stavefejl?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> wrote in message news:<410e66fe$0$35882$14726298@news.sunsite.dk>...
> Den Mon, 2 Aug 2004 05:24:34 +0200 skrev Malthe Sunesen:
> > Kent Friis skrev i en meddelelse:
> >> Den Sat, 31 Jul 2004 12:55:56 +0200 skrev Peter Kruse:
> >> > "Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en
> meddelelse
> >> > news:410B1F31.63036BB6@nospam.lir.dk.invalid...
> [...]
> >> >> Med de konkrete eksempler ville jeg selvfølgelig nemt
> >> >> selv have kunnet afvise dem alle som fup, fordi jeg
> >> >> ikke har nogen forbindelser til de pågældende firmaer.
> >>
> >> Og dermed vil de allesammen være enten fake eller spam, selvom sitet
> >> påstår de er legitimate.
> >
> > Men nu er det jo ikke jer der har fået de mails. Dem der har modtaget de
> > rigtige mails må have en forbindelse til firmaet. Men det kan jo være meget
> > sjovt at se hvor god man er til at spotte Phishings.
>
> Det vi forsøger at sige er at testen er ubrugelig, når de ting vi har at
> gå ud fra alle tyder i retning fake.
>
> Vi kan jo ikke vide om manden var kunde hos Hotmail, eller hos E-bay.
> Derfor kan vi ikke tage udgangspunkt i det. Linksene peger ikke på
> Hotmail, hvilken tyder kraftigt på at det er en fake mail. Og headerne
> er fjernet, så selv dem kan vi ikke bruge.
>
> Hvad er der så tilbage at gå ud fra? Stavefejl?

Du har ret - de brugbare informationer er væk. Men man har stadig
inholdet, og ebay og des lige ville jo aldrig nogensinde bede om
password mm. i en mail. Det er det eneste men kan bruge til noget.

Malthe Sunesen

---

Den 4 Aug 2004 06:09:43 -0700 skrev Malthe Sunesen:
> Kent Friis <nospam@nospam.invalid> wrote in message news:<410e66fe$0$35882$14726298@news.sunsite.dk>...
>> Den Mon, 2 Aug 2004 05:24:34 +0200 skrev Malthe Sunesen:
>> > Kent Friis skrev i en meddelelse:
>> >> Den Sat, 31 Jul 2004 12:55:56 +0200 skrev Peter Kruse:
>> >> > "Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en
>> meddelelse
>> >> > news:410B1F31.63036BB6@nospam.lir.dk.invalid...
>> [...]
>> >> >> Med de konkrete eksempler ville jeg selvfølgelig nemt
>> >> >> selv have kunnet afvise dem alle som fup, fordi jeg
>> >> >> ikke har nogen forbindelser til de pågældende firmaer.
>> >>
>> >> Og dermed vil de allesammen være enten fake eller spam, selvom sitet
>> >> påstår de er legitimate.
>> >
>> > Men nu er det jo ikke jer der har fået de mails. Dem der har modtaget de
>> > rigtige mails må have en forbindelse til firmaet. Men det kan jo være meget
>> > sjovt at se hvor god man er til at spotte Phishings.
>>
>> Det vi forsøger at sige er at testen er ubrugelig, når de ting vi har at
>> gå ud fra alle tyder i retning fake.
>>
>> Vi kan jo ikke vide om manden var kunde hos Hotmail, eller hos E-bay.
>> Derfor kan vi ikke tage udgangspunkt i det. Linksene peger ikke på
>> Hotmail, hvilken tyder kraftigt på at det er en fake mail. Og headerne
>> er fjernet, så selv dem kan vi ikke bruge.
>>
>> Hvad er der så tilbage at gå ud fra? Stavefejl?
>
> Du har ret - de brugbare informationer er væk. Men man har stadig
> inholdet, og ebay og des lige ville jo aldrig nogensinde bede om
> password mm. i en mail. Det er det eneste men kan bruge til noget.

Tja, det kræver jo at man kender Ebays password-politik, både den
skrevne og den uskrevne. Måske Ebay ikke ville, men jeg har da sågar
(fra andre sites) fået tilsendt et password i en mail, som bekræftelse
på at det var det password jeg havde valgt.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis skrev i en meddelelse:
> Den 4 Aug 2004 06:09:43 -0700 skrev Malthe Sunesen:
> > Kent Friis <nospam@nospam.invalid> wrote in message
news:<410e66fe$0$35882$14726298@news.sunsite.dk>...
> >> Den Mon, 2 Aug 2004 05:24:34 +0200 skrev Malthe Sunesen:
> >> > Kent Friis skrev i en meddelelse:
> >> >> Den Sat, 31 Jul 2004 12:55:56 +0200 skrev Peter Kruse:
> >> >> > "Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en
> >> meddelelse
> >> >> > news:410B1F31.63036BB6@nospam.lir.dk.invalid...
> >> [...]
> >> >> >> Med de konkrete eksempler ville jeg selvfølgelig nemt
> >> >> >> selv have kunnet afvise dem alle som fup, fordi jeg
> >> >> >> ikke har nogen forbindelser til de pågældende firmaer.
> >> >>
> >> >> Og dermed vil de allesammen være enten fake eller spam, selvom sitet
> >> >> påstår de er legitimate.
> >> >
> >> > Men nu er det jo ikke jer der har fået de mails. Dem der har modtaget
de
> >> > rigtige mails må have en forbindelse til firmaet. Men det kan jo være
meget
> >> > sjovt at se hvor god man er til at spotte Phishings.
> >>
> >> Det vi forsøger at sige er at testen er ubrugelig, når de ting vi har
at
> >> gå ud fra alle tyder i retning fake.
> >>
> >> Vi kan jo ikke vide om manden var kunde hos Hotmail, eller hos E-bay.
> >> Derfor kan vi ikke tage udgangspunkt i det. Linksene peger ikke på
> >> Hotmail, hvilken tyder kraftigt på at det er en fake mail. Og headerne
> >> er fjernet, så selv dem kan vi ikke bruge.
> >>
> >> Hvad er der så tilbage at gå ud fra? Stavefejl?
> >
> > Du har ret - de brugbare informationer er væk. Men man har stadig
> > inholdet, og ebay og des lige ville jo aldrig nogensinde bede om
> > password mm. i en mail. Det er det eneste men kan bruge til noget.
>
> Tja, det kræver jo at man kender Ebays password-politik, både den
> skrevne og den uskrevne. Måske Ebay ikke ville, men jeg har da sågar
> (fra andre sites) fået tilsendt et password i en mail, som bekræftelse
> på at det var det password jeg havde valgt.

Det har jeg erfaring med, at mange standardkonfigurerede PHPBB-fora gør, når
man tilmelder sig. Men her _giver_ de passwordet, de _beder_ ikke om det.

Malthe Sunesen

---

Den Thu, 5 Aug 2004 16:57:11 +0200 skrev Malthe Sunesen:
> Kent Friis skrev i en meddelelse:
>> Den 4 Aug 2004 06:09:43 -0700 skrev Malthe Sunesen:
>> > Kent Friis <nospam@nospam.invalid> wrote in message
> news:<410e66fe$0$35882$14726298@news.sunsite.dk>...
>> >> Den Mon, 2 Aug 2004 05:24:34 +0200 skrev Malthe Sunesen:
>> >> > Kent Friis skrev i en meddelelse:
>> >> >> Den Sat, 31 Jul 2004 12:55:56 +0200 skrev Peter Kruse:
>> >> >> > "Kasper Dupont" <remove.invalid@nospam.lir.dk.invalid> skrev i en
>> >> meddelelse
>> >> >> > news:410B1F31.63036BB6@nospam.lir.dk.invalid...
>> >> [...]
>> >> >> >> Med de konkrete eksempler ville jeg selvfølgelig nemt
>> >> >> >> selv have kunnet afvise dem alle som fup, fordi jeg
>> >> >> >> ikke har nogen forbindelser til de pågældende firmaer.
>> >> >>
>> >> >> Og dermed vil de allesammen være enten fake eller spam, selvom sitet
>> >> >> påstår de er legitimate.
>> >> >
>> >> > Men nu er det jo ikke jer der har fået de mails. Dem der har modtaget
> de
>> >> > rigtige mails må have en forbindelse til firmaet. Men det kan jo være
> meget
>> >> > sjovt at se hvor god man er til at spotte Phishings.
>> >>
>> >> Det vi forsøger at sige er at testen er ubrugelig, når de ting vi har
> at
>> >> gå ud fra alle tyder i retning fake.
>> >>
>> >> Vi kan jo ikke vide om manden var kunde hos Hotmail, eller hos E-bay.
>> >> Derfor kan vi ikke tage udgangspunkt i det. Linksene peger ikke på
>> >> Hotmail, hvilken tyder kraftigt på at det er en fake mail. Og headerne
>> >> er fjernet, så selv dem kan vi ikke bruge.
>> >>
>> >> Hvad er der så tilbage at gå ud fra? Stavefejl?
>> >
>> > Du har ret - de brugbare informationer er væk. Men man har stadig
>> > inholdet, og ebay og des lige ville jo aldrig nogensinde bede om
>> > password mm. i en mail. Det er det eneste men kan bruge til noget.
>>
>> Tja, det kræver jo at man kender Ebays password-politik, både den
>> skrevne og den uskrevne. Måske Ebay ikke ville, men jeg har da sågar
>> (fra andre sites) fået tilsendt et password i en mail, som bekræftelse
>> på at det var det password jeg havde valgt.
>
> Det har jeg erfaring med, at mange standardkonfigurerede PHPBB-fora gør, når
> man tilmelder sig. Men her _giver_ de passwordet, de _beder_ ikke om det.

Sikkerhedsmæssigt er det endnu værre.

Hvis man har sin authentication på plads, er der ikke noget problem
i pr mail at bede folk gå ind på en side og indtaste deres password.

At sende det til dem betyder derimod under alle omstændigheder at
passwordet kan være (og dermed bør betragtes som) kompromiteret.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

> Du har ret - de brugbare informationer er væk. Men man har stadig
> inholdet, og ebay og des lige ville jo aldrig nogensinde bede om
> password mm. i en mail. Det er det eneste men kan bruge til noget.

Det gjorde de skam heller ikke i mailen.
Når man klikkede på linket kom man til en forside som lignede ebay til
forveksling. Her kunne man så logge ind som man plejer og HVIS man ville
gøre det så havner password i de forkert hænder.

--
Tom

---

Tom skrev i en meddelelse:
>
>
> > Du har ret - de brugbare informationer er væk. Men man har stadig
> > inholdet, og ebay og des lige ville jo aldrig nogensinde bede om
> > password mm. i en mail. Det er det eneste men kan bruge til noget.
>
> Det gjorde de skam heller ikke i mailen.
> Når man klikkede på linket kom man til en forside som lignede ebay til
> forveksling. Her kunne man så logge ind som man plejer og HVIS man ville
> gøre det så havner password i de forkert hænder.

Den pointe havde jeg misset, men de fleste kigger vel på adressen til den
hjmmeside man er på, _før_ man logger sig på..?

Malthe Sunesen

---

> > Det gjorde de skam heller ikke i mailen.
> > Når man klikkede på linket kom man til en forside som lignede ebay til
> > forveksling. Her kunne man så logge ind som man plejer og HVIS man ville
> > gøre det så havner password i de forkert hænder.
>
> Den pointe havde jeg misset, men de fleste kigger vel på adressen til den
> hjmmeside man er på, _før_ man logger sig på..?

Den var lavet ganske kryptisk. Det var faktisk kun når den lige var igang
med at hente siden at den skrev http://212.24.156.2/secure.......... efter
siden var loaded blev adressen via et script lavet om så det så ud som om
man var havnet hos ebay.
Manden havde gjort sig umage med at skjule at det var svindel og han var
ikke uden evner.

--
Tom

---

Den Thu, 5 Aug 2004 17:25:49 +0200 skrev Tom:
>
>
>> > Det gjorde de skam heller ikke i mailen.
>> > Når man klikkede på linket kom man til en forside som lignede ebay til
>> > forveksling. Her kunne man så logge ind som man plejer og HVIS man ville
>> > gøre det så havner password i de forkert hænder.
>>
>> Den pointe havde jeg misset, men de fleste kigger vel på adressen til den
>> hjmmeside man er på, _før_ man logger sig på..?
>
> Den var lavet ganske kryptisk. Det var faktisk kun når den lige var igang
> med at hente siden at den skrev http://212.24.156.2/secure.......... efter
> siden var loaded blev adressen via et script lavet om så det så ud som om
> man var havnet hos ebay.

Hvilke browsere tillader at man ændrer hvilken adresse der vises i
adresse-baren, og hvorfor? (Og hvor bor den idiot der har bestemt at
browseren skal kunne det?)

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 06 Aug 2004 20:38:06 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Hvilke browsere tillader at man ændrer hvilken adresse der vises i
>adresse-baren, og hvorfor? (Og hvor bor den idiot der har bestemt at
>browseren skal kunne det?)

I nogle tilfælde foregår det ved at den fake-side, man går ind på, gør
to ting:

1. Åbner et popup (uden adressebaren og statusbaren) med en fake form.
2. Viderestiller hovedsiden i baggrunden til en tilfældig
SSL-beskyttet side under det rigtige domæne.

Det efterlader brugeren med indtrykket, at popuppen stammer fra den
rigtige side. Den eneste synlige adresse er den i hovedvinduet, der er
helt korrekt og gyldig nok (og altså ikke fake't).

Resultatet opleves i "alle" browsere (hvis man ikke har deaktiveret
vilkårlige popup-vinduer). Der er næppe nogen teknisk løsning imod
dette - måske udover ikke at stole på sider uden synlig
adressebar+statusbar.

--
- Peter Brodersen

Ugens sprogtip: minsandten (og ikke mindsandten)

---

Den Sat, 07 Aug 2004 03:33:47 +0200 skrev Peter Brodersen:
> On 06 Aug 2004 20:38:06 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Hvilke browsere tillader at man ændrer hvilken adresse der vises i
>>adresse-baren, og hvorfor? (Og hvor bor den idiot der har bestemt at
>>browseren skal kunne det?)
>
> I nogle tilfælde foregår det ved at den fake-side, man går ind på, gør
> to ting:
>
> 1. Åbner et popup (uden adressebaren og statusbaren) med en fake form.
> 2. Viderestiller hovedsiden i baggrunden til en tilfældig
> SSL-beskyttet side under det rigtige domæne.

Mener du at popup'en placeres lige over det oprindelige vindue, således
at adressebaren og statusbaren ser ud som om de hører til det vindue?

I så fald bør window decorations på popup'en tydeligt vise at det
er et andet vindue.

> Resultatet opleves i "alle" browsere (hvis man ikke har deaktiveret
> vilkårlige popup-vinduer).

Og det sidste har man naturligvis, hvis man har været på nettet
indenfor det sidste års tid. Medmindre man kan li' diverse "bugsquish"
spil, og bruger browseren som et sådant.


> Der er næppe nogen teknisk løsning imod
> dette - måske udover ikke at stole på sider uden synlig
> adressebar+statusbar.

Eller blot checker hvorvidt der er en adressebar, inden man checker
indholdet af adressebaren. Det burde være logisk, at hvis der ikke
er en, kan man heller ikke checke hvad der står i den.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 07 Aug 2004 08:20:47 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> 1. Åbner et popup (uden adressebaren og statusbaren) med en fake form.
>> 2. Viderestiller hovedsiden i baggrunden til en tilfældig
>> SSL-beskyttet side under det rigtige domæne.
>Mener du at popup'en placeres lige over det oprindelige vindue, således
>at adressebaren og statusbaren ser ud som om de hører til det vindue?

Nej, det er ikke noget overlay-trick eller lignende. Der er bare to
vinduer: Et gyldigt, stort med al data fra et godkendt site med SSL,
og så et fake popup (uden adresselinje eller statusbar), der beder én
om at indtaste vigtige informationer.

De brugere, der bliver narret af det, vil blive narret, uafhængigt af
hvilken browser, de bruger.

>> Der er næppe nogen teknisk løsning imod
>> dette - måske udover ikke at stole på sider uden synlig
>> adressebar+statusbar.
>Eller blot checker hvorvidt der er en adressebar, inden man checker
>indholdet af adressebaren. Det burde være logisk, at hvis der ikke
>er en, kan man heller ikke checke hvad der står i den.

... "vi andre" kan jo klare os med en info på det aktuelle vindue
(omend man som Mozilla-bruger skal have en temmeligt ny udgave for at
ku' stole på dette)

--
- Peter Brodersen

Ugens sprogtip: minsandten (og ikke mindsandten)

---

Den Sat, 07 Aug 2004 10:50:16 +0200 skrev Peter Brodersen:
> On 07 Aug 2004 08:20:47 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> 1. Åbner et popup (uden adressebaren og statusbaren) med en fake form.
>>> 2. Viderestiller hovedsiden i baggrunden til en tilfældig
>>> SSL-beskyttet side under det rigtige domæne.
>>Mener du at popup'en placeres lige over det oprindelige vindue, således
>>at adressebaren og statusbaren ser ud som om de hører til det vindue?
>
> Nej, det er ikke noget overlay-trick eller lignende. Der er bare to
> vinduer: Et gyldigt, stort med al data fra et godkendt site med SSL,
> og så et fake popup (uden adresselinje eller statusbar), der beder én
> om at indtaste vigtige informationer.
>
> De brugere, der bliver narret af det, vil blive narret, uafhængigt af
> hvilken browser, de bruger.

1. Forudsat at browseren viser popups uden adressebar og statusbar.

2. Hvis man bliver narret af det, har man IMHO ikke fattat hvad vinduer
går ud på (uanset om det er Windows, Mac eller *nix). Det svarer til at
tro at man sagtens kan skrive sin pin-kode i ICQ, fordi der står
https://www.nationalbanken.dk/ i browseren.

>>> Der er næppe nogen teknisk løsning imod
>>> dette - måske udover ikke at stole på sider uden synlig
>>> adressebar+statusbar.
>>Eller blot checker hvorvidt der er en adressebar, inden man checker
>>indholdet af adressebaren. Det burde være logisk, at hvis der ikke
>>er en, kan man heller ikke checke hvad der står i den.
>
> .. "vi andre" kan jo klare os med en info på det aktuelle vindue
> (omend man som Mozilla-bruger skal have en temmeligt ny udgave for at
> ku' stole på dette)

Det skal man jo alligevel, efter libPNG hullet.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Peter Brodersen <usenet@ter.dk> wrote:

>Nej, det er ikke noget overlay-trick eller lignende. Der er bare to
>vinduer: Et gyldigt, stort med al data fra et godkendt site med SSL,
>og så et fake popup (uden adresselinje eller statusbar), der beder én
>om at indtaste vigtige informationer.
>
>De brugere, der bliver narret af det, vil blive narret, uafhængigt af
>hvilken browser, de bruger.

Men det vil vel altid se mystisk ud, for "hovedvinduet" med med den godkendte
SSL hjemmeside har ikke fokus?


--
Med venlig hilsen, Ove Kjeldgaard, nospam AT privat DOT dk
Natur og Friluftsliv: <http://hiker.dk>

---

Ove Kjeldgaard wrote:
>
> Men det vil vel altid se mystisk ud, for "hovedvinduet" med med den godkendte
> SSL hjemmeside har ikke fokus?

Der er da ikke noget usædvanligt i, at brugerid og
password indtastes i et seperat vindue. Sådan
fungerede f.eks. Danske Banks netbank dengang jeg
var kunde hos dem.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.

---

Kasper Dupont wrote:

>> > Hvis du mener, at du kan gøre det bedre, så kan Phishing quizen
>> > fra Mailfrontier findes på følgende adresse:
>> > http://survey.mailfrontier.com/survey/quiztest.html
>>
>> Realistisk test?
>
> Ubrugelig test udfra min vurdering. De har jo fjernet
> stort set alle de oplysninger jeg ville vurdere en
> mail udfra. Hvor er f.eks. alle received headerne, og
> hvor er linkene?

Jeg synes nu ikke testen er så slem. Ok, man kan måske ikke lære så
meget af den, men jeg synes det var relativt let at skille fårene fra
bukkene -- også selvom javascript-tricks'ene over "linksene" ikke
virkede i firefox (så man kan kun se link-teksten, der peger på et
trusted site).

"You got 10 out of 10 correct, or 100 %"

> Med de konkrete eksempler ville jeg selvfølgelig nemt
> selv have kunnet afvise dem alle som fup, fordi jeg
> ikke har nogen forbindelser til de pågældende firmaer.

Mjaeh, det er jo lidt snyd. Der er 3 af dem der faktisk blev sendt af
de pågældende firmaer til deres kunder.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
496620796F752063616E207265616420746869732C00
796F7527726520746F6F206765656B2E00

---

On Fri, 30 Jul 2004 20:43:29 +0200, "Lars Raaby"
<Lars.Raaby@adslhome.invalid> wrote:


>Prøv lige at køre det quiz og du ville blive overrasket
>Der er klippet i mailen.

Auch! :-|

/Snedker
---
http://dbconsult.dk
Email: mortenatdbconsultdotdk

---

"Tom" <tom_christensen(snabela)bigfoot.com> wrote:

Hvis ebay har en "report hoax" email adresse, så gør det der.. (citibank
har..)

ellers bare smid den ud.

--
regards, Peter Larsen

---

> "Tom" <tom_christensen(snabela)bigfoot.com> wrote:
>
> Hvis ebay har en "report hoax" email adresse, så gør det der.. (citibank
> har..)

Jeg har skam raporteret til ebay. Og fik også ganske hurtigt svar fra dem at
mailen ikke kom fra dem. Det tog ca. 10 min. så blev webserveren også
slukket selv om den har været oppe og køre i en lille uge (da jeg modtog den
første mail).
Har været på ferie så jeg tænkte ikke lige mere over det med at andre måske
er hoppet i fælden, men jeg tror at det er blevet stoppet efter min
henvendelse til ebay.
Jeg ville bare gerne sikre mig at svinet i .CZ bliver forfulgt da der ganske
sikkert er nogen som har hoppet i hans meget prof. fake.

--
Tom

---

"Tom" <tom_christensen(snabela)bigfoot.com> wrote:

> Jeg ville bare gerne sikre mig at svinet i .CZ bliver forfulgt da der
> ganske sikkert er nogen som har hoppet i hans meget prof. fake.

helt enig, det bedste er dog at rapportere det direkte til ebay/citibank
(hvis de ønsker det), da de har større mulighed for at udøve "magt" og
se voldsomme ud..

--
regards, Peter Larsen

---

"Peter Larsen" <mail@czar.dk> skrev i en meddelelse
news:410a9d32$0$183$edfadb0f@dread11.news.tele.dk...
> "Tom" <tom_christensen(snabela)bigfoot.com> wrote:
>
> Hvis ebay har en "report hoax" email adresse, så gør det der.. (citibank
> har..)
>
> ellers bare smid den ud.

ebay har mere information på: http://pages.ebay.com/education/spooftutorial/

Kort sagt, så skal den slags sendes til spoof (at) ebay.com

Lars

---

> Det så ikke særlig ebay'sk ud at det skulle være afsendt fra Tjekkiet.
> Klikkede man på linket skrev den lige kortvarigt IP adressen på fake
> hjemmesiden 212.24.156.2
> Jeg har for 45 min. siden anmeldt det til ebay som åbenbart har gjort et
> eller andet fordi når er webserveren "død".
> Jeg vil dog også gerne anmelde det til ALT det politi osv. som jeg kan.

Så fik jeg en e-mail fra ebay:

--
Tom



Hello,

Thank you for writing to eBay regarding the email you received.

Emails such as this, commonly referred to as "spoof" or "phished"

messages, are sent in an attempt to collect sensitive personal or financial
information from the recipients.

The email you reported was not sent by eBay. We have reported this email to
the appropriate authorities.

In the future, be very cautious of any email that asks you to submit
information such as your credit card number or your email password.

eBaywill never ask you for sensitive personal information such as passwords,
bank account or credit card numbers, Personal Identification Numbers (PINs),
or Social Security Numbers in an email. If you ever need to provide
sensitive information to us, please open a new Web browser, type
www.ebay.com into your browser address field, and click on the "site map"
link located at the top the page to access the eBay page you need.

If you have any doubt about whether an email message is from eBay, please
forward it immediately to spoof@ebay.com. Do not respond to it or click any
of the links. Do not remove the original subject line or change the email in
any way when you forward it to us.

If you have already entered sensitive financial information or your password
into a Web site based on a request from a spoofed email, you should take
immediate action to protect your identity and all of your online accounts.
We have developed an eBay Help page with valuable information regarding the
steps you should take to protect yourself.

http://pages.ebay.com/help/confidence/isgw-account-theft-reporting.html

To review eBay's new tutorial about Spoof Emails, please see the following
Web page:

http://pages.ebay.com/education/spooftutorial/

Once again, thank you for alerting us to the spoof email you received.

Your efforts help us ensure that eBay remains a safe and vibrant online
marketplace.

Regards,

Ian

eBay SafeHarbor

Investigations Team

______________________________

eBay

Your Personal Trading Community (tm)

*******************************************

Important: eBay will not ask you for sensitive personal information (such as
your password, credit card and bank account numbers, Social Security
numbers, etc.) in an email. Learn more account protection tips

at:

http://www.pages.ebay.com/help/account_protection.html

_____________________________________________

For our latest announcements, please check:

http://www2.ebay.com/aw/announce.shtml

_____________________________________________

In order to better serve you, we'd like to occasionally request feedback on
our service. If you would rather not participate, please click on the link
below and send us an email with the word "REMOVE" in the subject line.

If that does not work, please send an email to the email address below. Your
request will be processed within 5 days.

mailto:cssremove@ebay.com

*******************************************

---

Tom wrote:
>
> Det så MEGET rigtigt ud, men jeg havde min mistanke så ved at kigge i
> headeren på afsenderen fremkom bl.a. følgende:
>
> from gw.energotusimice.cz (localhost [127.0.0.1]) by gw.energotusimice.cz
> (8.11.6/8.11.6) with SMTP id i6U6CBr00374

I en mail med en række received headere kan det være
lidt af en udfordring at finde den relevante. Hver
mail server mailen kommer igennem sætter en ny
header i toppen. Men allerede når mailen kommer til
den første mailserver kan der være en række fakede
received headere. Det er altså kun de øverste, der
kan bruges til noget. Man skal finde den nederste,
som er indsat af en server man stoler på. Og den
eneste oplysning om afsenderen fra denne linie, som
man reelt kan stole på er IP adressen.

Den header du har vist kan være ægte eller faket,
men under alle omstændigheder er den ubrugelig. For
selv hvis den er ægte, så er det eneste den fortæller
dig, at en mail server har modtaget mailen fra et
andet program på samme maskine. Navnet fortæller dig
intet, det er blot hvad maskinen kalder sig selv, og
kunne fakes så let som ingenting, også hvis linien
er indsat af ganske almindeligt mailserver software.

Hvis ikke du ved nok til at finde den rigtige
received header, så må du hellere poste dem alle,
for så har vi andre da en chance for at se, hvor den
kommer fra.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
I'd rather be a hammer than a nail.

---

"Tom" <tom_christensen(snabela)bigfoot.com> skrev i en meddelelse
news:410a8fa5$0$161$edfadb0f@dtext02.news.tele.dk...

Hej Tom,

> Har lige fået 3 email som "så ud" som om de var sendt fra ebay
> online-auktion. Her bad de om mit password og kreditkortoplysninger via
det
> link man skulle klikke på.

Sådanne fup/phishing mails, som flere også har anført i denne tråd, kan med
fordel rapporteres til ICPCI:
https://icpci.com/report.htm

Venligst
Peter Kruse
http://www.csis.dk

---

"Peter Kruse" <kruse@_nadanada_railroad_spam.dk> skrev i en meddelelse
news:410b72e6$0$256$edfadb0f@dread16.news.tele.dk...


> Hej Tom,
>
> > Har lige fået 3 email som "så ud" som om de var sendt fra ebay
> > online-auktion. Her bad de om mit password og kreditkortoplysninger via
> det
> > link man skulle klikke på.
>
> Sådanne fup/phishing mails, som flere også har anført i denne tråd, kan
med
> fordel rapporteres til ICPCI:
> https://icpci.com/report.htm

Tak, det er hermed gjort. Håber at de finder manden og at han ikke har nået
at gøre for meget skade.

Jeg vil gerne melde tilbage hvis jeg hører noget mere.

--
Tom