Форум С.Кара-Мурзы: Ветка : Внимание! МОШЕННИКИ пытаются собрать деньги от имени сайта С.Г.Кара-Мурзы

От	И.Т.
К	All
Дата	31.12.2016 16:08:28
Рубрики	Прочее;

Внимание! МОШЕННИКИ пытаются собрать деньги от имени сайта С.Г.Кара-Мурзы

Сегодня мне на личный адрес поступила ложная информация с почтового адреса сайта С.Г.Кара-Мурзы - sgk-m@mail.ru
Я проверил этот почтовый ящик, который я контролирую, как администратор сайта. В этом почтовом ящике отправка такого письма не зарегистрирована.

Видимо проведена массовая рассылка или с другого сервера с подменой адреса или с помощью компьютерного вируса с моего компьютера или еще какие-то варианты.

Мошенники надеются, что в новогодней суматохе и в хорошем новогоднем настроении люди быстро отзовутся на просьбу помочь больному ребенку и переведут деньги.

Прошу здесь сообщать, если кто-то получил подобное письмо:
------
Re:
Сайт С.Г.Кара-Мурзы
Кому: sgk-m@mail.ru

Сегодня 01:43

Добрый вечер всем!

Попрошу пару минут. http://infnasty.blogspot.no - здесь написано про мою племянницу. Надеюсь, сильно не отвлеку.

Спасибо и всех с наступающим!

--
С.Г. Кара-Мурза

От	mirra88
К	И.Т. (31.12.2016 16:08:28)
Дата	02.01.2017 12:17:45

Посмотрите служебные заголовки

>Сегодня мне на личный адрес поступила ложная информация с почтового адреса сайта С.Г.Кара-Мурзы - sgk-m@mail.ru
>Я проверил этот почтовый ящик, который я контролирую, как администратор сайта. В этом почтовом ящике отправка такого письма не зарегистрирована.

>Видимо проведена массовая рассылка или с другого сервера с подменой адреса или с помощью компьютерного вируса с моего компьютера или еще какие-то варианты.

По работе приходится сталкиваться со всеми этими вопросами, в том числе и с вопросами безопасности. Сегодня можно точно отследить с какого электронного адреса и с какого IP пришло письмо. В адресной строке почтовой программы адрес достаточно легко подделать, но есть ещё служебные заголовки, а такой заголовок создается не отправителем сообщения, а компьютером, через который прошло это сообщение, его не подделаешь (по крайней мере это совсем не так просто, как с адресной строкой).
Если у Вас mail.ru (в других почтовых программах по другому, но тоже есть), то открываете подозрительное письмо и в строке меню справа от темы письма (почти сверху, там где флажок, "пометить непрочитанным" и "создать событие") увидите три неширокие горизонтальные линии, по щелчке на которые раскрывается дополнительное меню.
Внизу этого меню будет пункт "Служебные заголовки", выбираете его, откроется отдельное окно и там Вы увидите от кого и с какого IP реально пришло письмо. Правда эти заголовки ещё расшифровать надо. Но там многое понятно интуитивно (особенно, я думаю, если английский язык знать...), а если вдруг что-то непонятно, то в интернете много информации, как это расшифровать. Например здесь https://openrate.us/posts/1110236/

От	geokon
К	mirra88 (02.01.2017 12:17:45)
Дата	02.01.2017 16:15:57

Такая записка:

Прислано было со специального почтового сервера, скрывающего имена отправителя. Фирма - htbridge. com , расположен в Женеве (HQ) и Сан-Франциско.

Это, видимо, "жестокий ответ демократов за русских хакеров и Трампа".

Delivered-To: здесь был мой адрес
Return-path:
Received: from [93.84.114.130] (ident=mail)
by f366.i.mail.ru with local (envelope-from )
id 1cN4xF-0007Ip-RW; Sat, 31 Dec 2016 00:43:14 +0300
Received: from [93.84.114.130] by e.mail.ru with HTTP;
Sat, 31 Dec 2016 00:43:13 +0300
From: =?UTF-8?B?0KHQsNC50YIg0JrQsNGA0LAt0JzRg9GA0LfRiw==?=
To: sgk-m@mail.ru
Subject: =?UTF-8?B?UmU6?=
MIME-Version: 1.0
X-Mailer: Mail.Ru Mailer 1.0
X-Originating-IP: [93.84.114.130]
Date: Sat, 31 Dec 2016 00:43:13 +0300
Reply-To: =?UTF-8?B?0KHQsNC50YIg0JrQsNGA0LAt0JzRg9GA0LfRiw==?=
X-Priority: 3 (Normal)
Message-ID: <1483134193.367167709@f366.i.mail.ru>
Content-Type: multipart/alternative;
boundary="--ALT--srHvgPEclfRfuqFwR34wioxwWXSBIaP01483134193"
Authentication-Results: f366.i.mail.ru; auth=pass smtp.auth=sgk-m@mail.ru smtp.mailfrom=sgk-m@mail.ru
X-56A74967: true
X-E1FCDC63: F621CFCAB05142325D10BFDDD5168EEB4A43D3E7D3A7B3F6
X-E1FCDC64: 893EF2E2B9BA634B523757EC9F4843EA96ABC4BE82CD83DAA55D96B849D8AF31
X-Mailru-Sender: AF90E98F97EA7CB6A8330D862333B40D331FF995E3FC09D0AA4B20E70F95B24450C9B18BB6E11147074A40F52AF1438D
X-Mras: OK
X-Spam: undefined

----ALT--srHvgPEclfRfuqFwR34wioxwWXSBIaP01483134193
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64

CtCU0L7QsdGA0YvQuSDQstC10YfQtdGAINCy0YHQtdC8IQoK0J/QvtC/0YDQvtGI0YMg0L/QsNGA
0YMg0LzQuNC90YPRgi4gIGh0dHA6Ly9pbmZuYXN0eS5ibG9nc3BvdC5ubyAtINC30LTQtdGB0Ywg
0L3QsNC/0LjRgdCw0L3QviDQv9GA0L4g0LzQvtGOINC/0LvQtdC80Y/QvdC90LjRhtGDLiDQndCw
0LTQtdGO0YHRjCwg0YHQuNC70YzQvdC+INC90LUg0L7RgtCy0LvQtdC60YMuCgrQodC/0LDRgdC4
0LHQviDQuCDQstGB0LXRhSDRgSDQvdCw0YHRgtGD0L/QsNGO0YnQuNC8IQoKCgotLSAK0KEu0JMu
INCa0LDRgNCwLdCc0YPRgNC30LAK
----ALT--srHvgPEclfRfuqFwR34wioxwWXSBIaP01483134193
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: base64
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----ALT--srHvgPEclfRfuqFwR34wioxwWXSBIaP01483134193--

От	geokon
К	geokon (02.01.2017 16:15:57)
Дата	02.01.2017 16:20:33

Блог с текстом письма от форума, на который указывала ссылка, уже удален. (-)

От	И.Т.
К	geokon (02.01.2017 16:20:33)
Дата	02.01.2017 17:34:55

Хуже то, что mail.ru объявила спамом мои письма с опровержением и не отправляет

Мошенники поставили в почтовом ящике фильтры и я больше суток не видел, что mail.ru возвращает мне мои письма читателям С.Г.Кара-Мурзы с опровержением мошеннического письма.

Так что кое-что мошенники, вероятно, успели заработать с ночи с 30 на 31 декабря и до уничтожения блога с номером банковской карты, на которую они просили отправить помощь несуществующей племяннице.

Сегодня я вступил с mail.ru в переписку, чтобы прекратили возвращать мои письма с разоблачением мошенников. Не уверен, что они быстро разберутся.
Да и смысла нет опровергать, если блог мошенников уничтожен.

От	geokon
К	geokon (02.01.2017 16:20:33)
Дата	02.01.2017 16:23:19

Вот информация по IP - из Беларуси.

General IP Information
IP: 93.84.114.130
Decimal: 1565815426
Hostname: 130-114-84-93.true.by
ASN: 6697
ISP: Beltelecom
Organization: Beltelecom
Services: Suspected network sharing device
Recently reported forum spam source. (1)
Type: Broadband
Assignment: Static IP
Blacklist:
Geolocation Information
Continent: Europe
Country: Belarus by flag
Latitude: 53 (53° 0′ 0.00″ N)
Longitude: 28 (28° 0′ 0.00″ E

От	geokon
К	И.Т. (31.12.2016 16:08:28)
Дата	02.01.2017 00:24:43

Мне фальшивку прислали.

Сомнения возникли сразу.