FrichX, спам, шантаж и сумасшедшие интернет-мошенники (обновлено 25.10.2010)
Продолжаем клинические исследования деятельности наших мошенников . Новые послания начинаются со слов: «Я, представитель (сотрудник, администратор) интернет-газеты govori.info, являющейся главным партнером электронной газеты "Украина криминальная" (cripo.com.ua), и спонсируемая несколькими крупнейшими хостинг-провайдерами Украины, заявляю Вам, как администратору (админу, вебмастеру, администратору портала) домена…». Точки входа все те же – через Билайн.
В связи с тем, что эти идиоты не прекращают свою деятельность, мы будем по мере их активности обновлять статью, добавляя в конец, новые сведения о их потугах. Тексты писем, адреса хостинг-провайдеров, с серверов которых эти рассылки ведутся, точки выхода в сеть и мнение пользователей получивших такие письма.
***** текст от 4 июня 2010 года
За последние два месяца в нашу редакцию пришло множество писем, такого содержания:
Здравствуйте!
Довожу до Вашего сведения, что с почтового ящика в вашем домене осуществляются спам-рассылки, вымогательского характера. Ниже привожу текст письма. Скорее всего заголовок письма подделан, но все же… обратите внимание!
———- Пересланное сообщение ———-
От кого: <[email protected]>
Дата: 2 июня 2010 г. 8:01
Тема: Предупреждение для ххххххх.RU
Кому: хххххх@gmail.comПриветствую Вас администратор сайта www.хххххх.ru
Я, почетный член арбитражной комиссии, электронной платежной системы WebMoney, ник – FrichX, заявляю Вам, как представителю портала хххххххх.ru, о том, что располагаю компрометирующими материалами, относительно Вашей деятельности в сети Интернет, которые нам любезно предоставил Ваш хостинг-провайдер ххххххххх.ru.
Мною, на сайте WM, уже была создана персональная страница претензий http://arbitrage.webmoney.ru/asp/claimsurl.asp?procurl=http://ххххххххх.ru/ , предназначенная для публикации жалоб на Ваш ресурс, и я предлагаю Вам, добровольно внести пожертвование, направленное на развитие платежной системы WebMoney, для приостановления этого негативного процесса.
Деньги от Вас, должны быть переданы лично мне на почту F R I C H X @meta.ua (удалите все пробелы), в виде реквизитов Паймер-чеков, на общую сумму 300 WMZ, не познее 8 июня 2010 года, иначе, помимо публикации на вышеуказанной странице претензий, всех поданных нам претензий на Ваш сайт, я опубликую этот компромат также и в своих личных, многочисленных блогах, таким образом помимо блокирования вашего WM ID, вместе со всеми Вашими электронными деньгами, я могу Вам гарантировать существенный отток Ваших клиентов, а может быть и вовсе полное блокирование домена ххххх.ru, его регистратором.
Вот ссылка на всего одну из многочисленных моих работ (сотни аналогичных документов найдете через поиск ключевых слов \"FrichX\" и например \"gullon\"):
http://cripo.com.ua/?sect_id=7&aid=89293
Здесь, как видите, выступает ставший вдруг скандальным ресурс gullon.eu, ранее безупречной и процветающей испанской кондитерской фирмы Gullon, который был полностью парализован арбитражным сервисом WebMoney и лично мною, теперь его место вполне может занять ххххххххх.RU!
Так что не затягивайте, потому что потом это будет гораздо дороже, а может быть и вовсе станет уже не возможно остановить негативный процесс, инициированный мною.
Также хочу Вас предупредить о том, что я не намерен вступать с Вами в переговоры, и в виде ответа на данное предупредительное сообщение, Вы можете отправить мне только реквизиты Paymer-чеков в выше оговоренной сумме, на выше указанный адрес, и ничего больше!FrichX
P.S. Любителям побузить, и тем, кто желает обвинить меня в мошенничестве или вымогательстве, советую объективно взвешивать аргументы и свои возможности, с учетом того, что у меня хорошие связи не только в WebMoney, электронных СМИ, доменных регистраторов и хостерах, но и в силовых структурах Украины!
———- Пересланное сообщение ———-—
С Уважением, хххххххх!
Это письмо отправил нам пользователь, которому показался подозрительным сам текст полученного им идиотского послания, и он, отдавая отчет о возможностях, которые предоставляет интернет, сразу понял, что дело тут не чисто. Это одно из немногих писем, в которых человек, получивший такое сообщение, адекватно оценивает ситуацию. Само письмо сильно напоминает по стилю, послания «нигерийских мошенников».
Мы сознательно не фильтровали весь поток такой корреспонденции, чтобы иметь возможность оценить масштабы рассылки, реакцию людей и, в связи с этой реакцией, оценить степень их ознакомленности со спектром проблем, которые порождает деятельность в интернете. Заметим, что эти письма адресовались администраторам и владельцам доменов, которые по идее должны быть в достаточной степени ознакомлены с законами среды, в которой они предполагают вести свою деятельность. Выводы неутешительны, многие пользователи приняли за чистую монету как само письмо, так и поддельный адрес отправителя указанного в поле От кого: и писали например, такие перлы:
«Слышь, Бендеровец, сиди ты в своей украине (заметь написал с мелкой буквы) и пользуйся ворованным газом у России!!! Есть проблемы? Приезжай в Россию и решим ее нормальными человеческими путями (у меня у самого знакомых полно и в ФСБ, и в судах, и особенно в прокуратуре). А деньги на заводе зарабатывай. А домен зарегистрирован на меня, но пользую им не я»,
Другие, осознав нелепость текста, но не осознав поддельность адреса, пугали:
«Если вы реально живете на Украине, это все равно не спасет от расследования, просто это несколько увеличит цепочку, существует обмен информацией между спец службами стран, и вас уже будет преследовать
Украинские спец службы. Любые органы будут рады поймать лоха и "выдоить их как дойную корову". Серьезных жуликов и олигархов наши органы ловить не умеют. Сидят в тюрьмах такие новички как вы УДАЧНО ПРИНЯТЬ ПРАВИЛЬНОЕ РЕШЕНИЕ!»
Некоторые, не пожалев потраченного времени, написали целые опусы, как водится, используя весь свой багаж нецензурных слов, чем здорово повеселили мужскую часть коллектива редакции. И мы их прекрасно понимаем, кому понравится когда его шантажируют. В конце концов был определен лучший ответ. Победила девушка Нина которая наиболее точно и емко сформулировала общее отношение к имбецилу, проводившему эту спам-рассылку. Текст ее ответа содержит три слова и пять знаков препинания:
«Больной что ли?????»
К сожалению таких писем, в которых получатели верно оценили ситуацию, было очень мало, буквально единицы. Что вероятно говорит, о недостаточной подготовленности пользователей к жесткой среде сети Интернет.
Отделяем зерна от плевел
Мы провели небольшое расследование, дабы выяснить с какого перепугу, некий оболтус решил таким образом пропиарить наше издание, подразумевая, вероятно, своим утлым умишком, что таким образом испортит нам репутацию. Далеко ходить не пришлось, все ключи оказались в его же письме.
Но начнем мы, пожалуй с небольшого ликбеза на тему заголовков электронных писем. По-видимому многие пользователи наивно полагают, что адрес который они видят в поле От кого: (From:, От:) является истинным. Это утверждение будет верным в отношении легальных писем, которые вы получаете от друзей, деловых партнеров и др. Кому из них придет в голову подделывать адрес отправителя, разве что в шутку.
Другое дело, спамеры и мошенники – эти товарищи всегда стараются запутать следы путем фальсификация адреса отправителя, и пытаются в меру своих познаний изменять заголовки сообщения. Понятно, что делается все это для того, чтобы затруднить возможность установления личности отправителя, принятия против него соответствующих мер и введение в заблуждение адресата.
В нашем случае попутно преследовалась цель попытаться дискредитировать почтовые адреса и домены третьих лиц. Технологии же электронной почты сегодня, не препятствуют любому человеку подделать адрес отправителя, чем активно пользуются различного рода злоумышленники.
Если проводить аналогию с обычной бумажной почтой, то механизм фальсификации будет более понятен. При отправке письма по почте, на конверте обычно указывается обратный адрес. Это позволяет адресату увидеть от кого пришло послание, а почте – в случае отсутствия получателя или указанного адреса вернуть отправителю его письмо.
Но ведь на конверте вы можете указать вместо своего адреса любой другой. Это означает, что существует возможность отправлять письма, где в качестве обратного адреса может быть указан адрес, к примеру, соседней пивной, или даже адрес получателя (этим методом, кстати, часто пользуются спамеры для обхода фильтров).
Установить реального отправителя в таком случае можно только ориентируясь на штампы почтовых отделений, через которые такое письмо проходит. Поэтому если вы, получив письмо, где в качестве отправителя указан, например Билл Клинтон, Вашингтон ДС, посмотрите на штамп почтового отделения, где написано что это деревня Гадюкино, вы сразу поймете что отправитель явно не Билл Клинтон, а какой-то полоумный Вася Гадюкин.
Электронная почта работает таким же образом. Когда почтовый сервер отправляет сообщение электронной почты, он указывает отправителя, однако данные в поле отправителя, как мы знаем, легко можно подделать. Чтобы узнать подделан ли адрес нужно посмотреть на штамп почтового отделения, в данном случае на заголовки письма. Практически все программы для работы с почтой позволяют это делать, также как и веб-интерфейсы почтовых служб (например в почте gmail в меню «ответить» стрелочку вниз и дальше «показать оригинал»). С инструкцией как просмотреть заголовки в почтовых программах, вы можете ознакомится на сайте проекта Антиспам.ру, а как просмотреть заголовки в интерфейсах популярных почтовых сервисов, смотрите иллюстрации:
В почтовом сервисе Gmail
В почтовом сервисе Yandex
В почтовом сервисе Mail.ru
В почтовом сервисе Rambler
Не вдаваясь особо в подробности, скажем коротко о самой структуре электронного письма. Как правило электронное письмо состоит из следующих частей:
Заголовков протокола по которому происходит обмен данными, полученных сервером. Эти заголовки могут включаться, а могут и не включаться в тело письма и самого письма, которое, в свою очередь, состоит из следующих частей:
• Заголовков письма, иногда называемых по аналогии с бумажной почтой конвертом (англ. envelope). В заголовке указывается служебная информация и пометки почтовых серверов, через которые прошло письмо, пометки о приоритете, указание на адрес и имя отправителя и получателя письма, тема письма и другая информация.
• Тела письма. В теле письма находится, собственно, сам текст сообщения.
«Конвертный» заголовок – это заголовок, созданный не отправителем сообщения, а компьютером, через который прошло это сообщение. Поэтому, все строчки «Received:» являются заголовками конверта, однако обычно этим термином называют только «конвертные» строчки «From» и «To». Заголовок «From» формируется на базе информации, полученной от команды MAIL FROM. Например, если отправляющая машина говорит MAIL FROM: [email protected]a, получающая машина сгенерирует строчку следующего вида:
From [email protected]
Отметим, что содержимое заголовка конверта From, а также заголовков сообщения «From:» и «To:» продиктовано отправителем, и не имеет ничего общего с действительностью!
Поэтому никогда нельзя доверять заголовкам «From», «From:» и «To:» в письмах, которые могут оказаться фальшивыми, так как эти заголовки очень легко подделать. Заголовки «Received:» предоставляют подробную информацию о жизни сообщения, что позволяет сделать некоторые выводы об источнике каждого конкретного сообщения, даже если все остальные заголовки были подделаны.
Безусловно, наиболее ценной особенностью заголовка «Received» с точки зрения защиты от подделки является то, что он содержит информацию, полученную получающим компьютером от отправляющего. Помните, что отправитель может солгать, но, к счастью, современные почтовые программы способны выявить фальшивую информацию и исправить ее.
Если, например, компьютер мошенник.com, IP-адрес которой 83.222.96.162, посылает сообщение машине жертва.mail.ru, но пытается ее обмануть, сказав HELO cripo.com.ua, заголовок «Received:» получится следующим.
Вот пример – часть заголовка из реального письма пересланного нам.
Return-path: [email protected] – обратный адрес
Received: from [83.222.96.162] (port=36459 helo=sr1.goldhost.ru) – строчка журналирования прохождения письма
(как видим реальный адрес отправителя зафиксирован, и это адрес не cripo.com.ua )
by mx57.mail.ru with esmtp
id 1OFz2R-000PE3-00
for жертва@mail.ru; Sun, 23 May 2010 04:27:31 +0400
Received-SPF: none (mx57.mail.ru: 83.222.96.162 is neither permitted nor denied by domain of cripo.com.ua) client-ip=83.222.96.162;
[email protected]; helo=sr1.goldhost.ru;
X-Mru-BL: 0:0:0
X-Mru-PTR: sr1.goldhost.ru
X-Mru-NR: 1
X-Mru-OF: Linux (ethernet/modem)
X-Mru-RC: RU
Received: from nobody by sr1.goldhost.ru with local (Exim 4.69)
(envelope-from <[email protected]>)
id 1OFz3I-00023H-U3
for [email protected]; Sun, 23 May 2010 04:28:24 +0400
To: [email protected]
Subject: =?windows-1251?Q?=CF=F0=E5=E4=F3=EF=F0=E5=E6=E4=E5=ED=
From: [email protected]
Content-Type: text/plain; charset="windows-1251";
Date: Sun, 23 May 2010 03:27:26 +0300
X-Priority: 3
X-Library: Indy 8.0.25
Message-Id: <[email protected]>
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – sr1.goldhost.ru
X-AntiAbuse: Original Domain – mail.ru
X-AntiAbuse: Originator/Caller UID/GID – [99 32007] / [47 12]
X-AntiAbuse: Sender Address Domain – cripo.com.ua
X-Source:
X-Source-Args: /usr/local/apache/bin/httpd -k start -DSSL
X-Source-Dir: frichx.ru:/public_html
X-Spam: Not detected
X-Mras: Ok
Из этого заголовка можно понять, что поле From: [email protected], не соответствует реальному отправителю, потому как не соответствуют ip-адреса (любой может проверить адрес нашего домена). Письмо отправленно с сервера хостинговой компании goldhost.ru, через почтовую программу Exim версии 4.69, через скрипт, от пользователя frichx.ru. Вероятно мошенники купили, а скорее всего взяли какой-то тестовый хостинг план, и через специально написанный скрипт провели рассылку. Подставив тем самым хостинг компанию предоставившую им из наилучших побуждений такую возможность. Для желающих разобраться с заголовками можна почитать эту статью. Все получившие такие письма могут легко убедится в том что адрес отправителя подделан, следуя инструкциям указанным выше.
Теперь я надеюсь каждый получивший подозрительное письмо сможет при желании отделить зерна от плевел, и выяснить тот ли отправитель за которого себя выдает, а вот зачем это другой вопрос….
Это элементарно Ватсон…
Теперь собственно о самом письме. Даже поверхностного взгляда достаточно, что бы определить что это полная ерунда, и кандидат номер один на попадание в мусор без ответа. Как сказал современный классик разговорного жанра Михаил Добкин: «Текст немного по-дебильному написан». В предыдущей части мы выяснили что адрес отправителя подделан, и если написавший письмо действительно хочет чтобы ему прислали выкуп, то часть писем, при автоматическом ответе, неизбежно попадет на адрес указанный в поле «From», в данном случае нам.
Для пытливых пользователей можно произвести небольшое расследование. Для того чтобы понять с какой целью эта ерунда послана, надо проанализировать факты, которые автор пытается нам подсунуть. Читаем:
«Я, почетный член арбитражной комиссии, электронной платежной системы WebMoney, ник – FrichX, заявляю Вам, как представителю портала хххххххх.ru, о том, что располагаю компрометирующими материалами, относительно Вашей деятельности в сети Интернет, которые нам любезно предоставил Ваш хостинг-провайдер ххххххххх.ru.»
Все почетные и не очень члены (если таковые имеются), серьезных организаций обычно представляются по ФИО, всякие ники это моветон. Представьте себе, что вам пишет письмо представитель банка, и сообщает что он Почетный представитель Центробанка по кличке «Лопух», имеет на вас компромат, который он получил у вашей мамы! Естественно предположить, что ваша мама сначала со своим компроматом и с ремнем придет сначала к вам, и вряд ли к почетному члену.
«Мною, на сайте WM, уже была создана персональная страница претензий http://arbitrage.webmoney.ru/asp/claimsurl.asp?procurl=http://ххххххххх.ru/ , предназначенная для публикации жалоб на Ваш ресурс, и я предлагаю Вам, добровольно внести пожертвование, направленное на развитие платежной системы WebMoney, для приостановления этого негативного процесса.»
Здесь вызывает недоумение вопрос о внесения добровольного пожертвования, которое проясняет следующий абзац:
«Деньги от Вас, должны быть переданы лично мне на почту F R I C H X @meta.ua (удалите все пробелы), в виде реквизитов Паймер-чеков, на общую сумму 300 WMZ, не познее 8 июня 2010 года, иначе, помимо публикации на вышеуказанной странице претензий, всех поданных нам претензий на Ваш сайт, я опубликую этот компромат также и в своих личных, многочисленных блогах, таким образом помимо блокирования вашего WM ID, вместе со всеми Вашими электронными деньгами, я могу Вам гарантировать существенный отток Ваших клиентов, а может быть и вовсе полное блокирование домена ххххх.ru, его регистратором.»
То есть получается письмо пришло от почетного члена WebMoney, но с адреса [email protected], который хочет денег на адрес F R I C H X @meta.ua, согласитесь выглядит все это как полная чепуха. Письмо, содержит элементы явного шантажа, и подписано псевдонимом, по которому легко вычислить имя человека, якобы это письмо написавшего. Данные эти находятся в открытом доступе. То есть по сути, он сам себя сдает в руки правоохранительных органов.
Далее приводятся примеры якобы его геройской деятельности, со ссылкой на статью на нашем сайте под названием «Лохотрон от Gullon или Как распознать мошенников-«работодателей»:
«Вот ссылка на всего одну из многочисленных моих работ (сотни аналогичных документов найдете через поиск ключевых слов \"FrichX\" и например \"gullon\"):
http://cripo.com.ua/?sect_id=7&aid=89293
Здесь, как видите, выступает ставший вдруг скандальным ресурс gullon.eu, ранее безупречной и процветающей испанской кондитерской фирмы Gullon, который был полностью парализован арбитражным сервисом WebMoney и лично мною, теперь его место вполне может занять ххххххххх.RU!
(на самом деле настоящая фирма называется Galletas Gullon и сайт ее находится по адресу www.gullon.es – прим. ред)
Так что не затягивайте, потому что потом это будет гораздо дороже, а может быть и вовсе станет уже не возможно остановить негативный процесс, инициированный мною. Также хочу Вас предупредить о том, что я не намерен вступать с Вами в переговоры, и в виде ответа на данное предупредительное сообщение, Вы можете отправить мне только реквизиты Paymer-чеков в выше оговоренной сумме, на выше указанный адрес, и ничего больше!»
Прочитав эту белиберду и сопоставив факты указанные в статье о лохотроне с gullon.eu, можно прийти к однозначному выводу, что письмо написано самими мошенниками, с целью дискредитации автора, этого на самом деле познавательного и полезного материала. Факты изложенные в котором, легко проверить.
Ну а приписка вероятно должна заинтересовать в расследовании этого дела всех в ней упоминающихся:
«P.S. Любителям побузить, и тем, кто желает обвинить меня в мошенничестве или вымогательстве, советую объективно взвешивать аргументы и свои возможности, с учетом того, что у меня хорошие связи не только в WebMoney, электронных СМИ, доменных регистраторов и хостерах, но и в силовых структурах Украины!»
И будем надеяться, что в скором времени друзья из силовых структур придут попить чайку к этим аферистам в гости. Тем более что их деятельность стала известна (достала всех) всему русскоязычному Интернету. А способы выхода их в сеть позволяют быстро их найти.
Ну а подделанный адрес нашего издания, вероятно (как в свое время и других опубликовавших эту статью), тоже попутно попытаться очернить. Даже этого беглого анализа достаточно, что бы сделать определенные выводы о целях этих рассылок. Но прочитав массу писем, в которых люди не могут (или не хотят) правильно оценить ситуацию, я допускаю вероятность того, что цели своей мошенники в некоторой степени достигли. Чтобы окончательно убедится в нашей правоте, мы прошлись по все местам где упоминалось имя FrichX, и обнаружили массу различных обсуждений этих писем, в некоторых из которых наши герои-спамеры принимали активное участие, продвигая (довольно неумело), свою тему.
Мстительные карлики
Ну что же, теперь мы можем подвести некий итог нашим совместным размышлениям. Ситуация очевидно выглядит так. Мошенники, в свое время, создали лже-сайт маскируясь под представительство испанской фирмы по производству печенья. Посредством которого в течении некоторого времени, успешно обманывали людей, предлагая трудоустройство для потерявших в момент кризиса работу. (Кстати похожий почерк прослеживается и в других аферах подробно описанных в материале «Интернет-аферы: ищешь работу? Потеряешь деньги! У жуликов всегда только свежие «разводы» )
Деньги капали на их кошельки в WebMoney, и жизнь казалась им песней. И тут какой-то программист пишет разоблачающую их статью, которую публикуют издания с большой аудиторией (ЖЖ, Хабрахабр, Украина криминальная). Народ резко прозревает, начинает писать претензии платежной системе, WebMoney блокируют счета аферистов и сладкая жизнь заканчивается.
Становится сильно обидно и хочется тихо плакать. Ума придумать какую-нибудь новую аферу не хватает, и они хотят жестокой мести в стиле индийского кино. И решают они «закошмарить» автора а попутно и издания которые посмели очернить их «лохотрон». Как мы можем видеть, их недолугие попытки в некоторой степени увенчиваются успехом.
Аккаунт автора статьи о лохотроне исчезает из ЖЖ, и с сайта Хабрахабр (хотя надо признать, что понимающих людей там значительно больше среднестатистического показателя). Я допускаю вероятность того, что FrichX сам удалил свои статьи и аккаунты с этих ресурсов, но мне кажется, что это сделала администрация, чтобы не морочиться, не пожелав разобраться, хотя или то или другое сыграло на руку мошенникам.
Все эти события дают возможность обиженным злоумышленникам ощутить себя королями интернета. А если еще предположить, что и администрация Meta.ua, приостановила или удалила почтовый ящик FrichXа, на который вероятно приходило целая куча ответов на спам, а сам почтовый адрес был привязан например к какой-нибудь платежной системе, той же WebMoney к примеру, то могли заблокировать и его счета.
То есть можно констатировать тот факт, что дурацкая затея с местью, и идиотская ее реализация в какой-то степени реализована. Наверное, эти малохольные еще и кучу угроз накатали автору лично, так как его данные легко найти в открытом доступе. Наверняка он не раз подумал «Вот и помогай после этого людям».
Тот факт, что эта эпопея длится уже несколько месяцев, и знают об этих письмах счастья многие пользователи сети, может спровоцировать целый вал такого мусора. Наверняка найдутся еще горе-мстители, а более умные злоумышленники приспособят эту схему, для новых афер.
Ведь по-сути таким образом, теоретически можно облить грязью любого, то есть каждый из нас может стать таким FrichXем. В данном случае мошенники слегка сами себе попортили праздник души, подставив наш электронный адрес в отправленные ими письма. А силу слова и фактов еще ни кто отменить не смог.
Что делать, чтобы такие сумасшедшие проделки не размножались? Во-первых, пользователям, которым приходит такая ерунда не тратить время на ответы. В большинстве случаев это ответы в никуда. И потеря времени. Главная задача спамера доставить письмо адресату, а не получить от него ответ. Если же кто-то решит бороться, то аргументированно писать в органы правопорядка прилагая тексты писем с заголовками.
Во-вторых, компании предоставляющие тестовый хостинг не должны позволять использовать бесплатно их почтовые сервера для рассылки спама, потому-как это портит их репутацию. Для такой рассылки мошенникам много времени не надо, пару часов и дело сделано, поэтому должны использоваться превентивные меры.
В-третьих силовые структуры должны активней ловить таких жуликов и показательно судить, чтобы другим не повадно было, законы есть, возможности тоже.
Пользователям остается пожелать быть бдительными, ибо в сети Интернет как и в любом мегаполисе есть множество мест где вас могут облапошить, а потом еще и подставить. А еще здесь начали появляться сумасшедшие, такие как герои нашего расследования лже-галлоновцы. Все как в реале. И получившая от них письмо Нина пыталась задать им очень правильный вопрос: «Больной что ли?????»
P.S. Если автор статьи «Лохотрон от Gullon или Как распознать мошенников-«работодателей», и герой нашего повествования FrichX, а так же косвенные участники этой эпопеи (хостеры, блого-сервисы, платежные системы и др.) прочитают этот материал, и захотят подтвердить или опровергнуть высказанные в нем предположения, будем рады.
Алексей Федоров, УК
P.S. Учитывая то, что эти настырные гуманоиды не собираются лечить свой прогрессирующий идиотизм, обновления грозят увеличить эту страницу до необъятных размеров. Поэтому мы вынесли образцы всех предыдущих рассылок в отдельный файл. А здесь будем публиковать сведения только о их последней активности.
+++++++++обновлено 25.10.2010
Продолжаем клинические исследования деятельности наших мошенников. Очередные их выходы в эфир ознаменовались слегка переработанными текстовками, и добавления вектора атак на компанию HostPro.ua.
Образец таких писем :
Заголовки:
Delivered-To: **********@gmail.com
Received: by 10.216.213.41 with SMTP id z41cs85173weo;
Sat, 23 Oct 2010 13:23:46 -0700 (PDT)
Received: by 10.151.85.14 with SMTP id n14mr9298794ybl.44.1287865425924;
Sat, 23 Oct 2010 13:23:45 -0700 (PDT)
Return-Path:
Received: from gateway03.websitewelcome.com ([69.93.205.23])
by mx.google.com with SMTP id p4si2889322ybh.41.2010.10.23.13.23.45;
Sat, 23 Oct 2010 13:23:45 -0700 (PDT)
Received-SPF: neutral (google.com: 69.93.205.23 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=69.93.205.23;
Authentication-Results: mx.google.com; spf=neutral (google.com: 69.93.205.23 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Received: (qmail 26489 invoked from network); 23 Oct 2010 20:23:45 -0000
Received: from firehawk.websitewelcome.com (74.53.28.130)
by gateway03.websitewelcome.com with SMTP; 23 Oct 2010 20:23:45 -0000
Received: from ubrute by firehawk.websitewelcome.com with local (Exim 4.69)
(envelope-from )
id 1P9kcu-0002nN-4x
for **********@gmail.com; Sat, 23 Oct 2010 15:23:40 -0500
To: **********@gmail.com
Subject: =?windows-1251?Q?=CF=F0=E5=E4=F3=EF=F0=E5=E6=E4=E5=ED=E8=E5
=E4=EB=FF?= **********.RU
X-PHP-Script: ubrute.com/index.php for 193.239.129.231 (Билайн-Украина – прим. ред)
From: [email protected]
Content-Type: text/plain; charset="windows-1251";
Date: Sat, 23 Oct 2010 23:23:31 +0300
X-Priority: 3
Message-Id:
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – firehawk.websitewelcome.com
X-AntiAbuse: Original Domain – gmail.com
X-AntiAbuse: Originator/Caller UID/GID – [4056 4054] / [47 12]
X-AntiAbuse: Sender Address Domain – hostpro.uaТело письма:
Добрый день администратор ресурса http://**********.ru
Я, – сотрудник интернет-газеты govori.info, являющейся главным партнером электронной газеты "Украина криминальная" (cripo.com.ua), и спонсируемая
несколькими крупнейшими хостинг-провайдерами Украины, заявляю Вам, как представителю портала **********.ru, о том, что мы располагаем компрометирующими
материалами, относительно Вашей деятельности в сети интернет!
Для того, чтобы вашему домену **********.ru не было неожиданно для вас отказано в хостинге Вашим хостинг-провайдером justhost.com., который собственно и
пожаловался нам на Вас, предлагаем Вам, добровольно захостить его на нашей абузоустойчивой хостинг-площадке – HOSTPRO (новая цель – прим. ред). Т.е. вы должны выполнить заказ
хостинга для своего домена **********.ru, по тарифу "Лучший", сроком не менее 12 месяцев, на нашем сайте по адресу
http://billing.hostpro.ua/cart2.php?a=add&pid=6 ,далее отправьте нам отчет на http://govori.info/Contacts.html , выполнить все это Вы должны не позднее 1
ноября!
При этом, если Вы не хотите чтобы на govori.info, cripo.com.ua (cripo.info), и др. наших ресурсах, была опубликована готовящаяся к публикации статья о
криминальной деятельности админа ресурса http://**********.ru, а также при Вашем желании добровольно внести свой вклад в борьбу с механизмами
интернет-мошенничества, Вы должны прислать к нам на http://govori.info/Contacts.html , реквизиты Paymer-чека 1000 $ (WMZ), с указанием своего домена
**********.ru, для удаления вышеупомянутой статьи, со всех наших информационных ресурсов.
Если же Вы искренне каятесь и хотите оказать нам помощь в борьбе с мошенничеством в интернете, однако на данный момент временно не располагаете
необходимой для вышеописанных операций суммой денег, Вы можете получить отсрочку на 30 дней, подав прошение об отсрочке на сайте
http://govori.info/Contacts.html , предварительно разместив на всех страницах своего сайта, следующие ссылки:
HOSTPRO – Хостинг БЕЗ правил! У нас можно ВСЕ! (http://hostpro.ua/)
Информ-бюро GOVORI.INFO: Развод от gullon.eu (http://govori.info/Scandals/695–gullon-lr.html)
Gullon – это жулье! (http://cripo.com.ua/?sect_id=7&aid=89293)
gullon.eu – это мошенничество! (http://softoroom.net/topic66360.html)
Gullon – это развод! (http://frichx . blogspot.com/2010/03/gullon-balconi-spa-zott-gmbh-co-kg.html)
Новости SAITER.RU: Гуллон – это обман! (http://saiter.ru/otzyvy/site/gullon.eu/?id=4796)
Gullon – это жулье! (http://rtkorr.com/news/2010/03/06/110822.new)
Вести UBRUTE.COM: Gullon – это обманщики! (http://ubrute.com/showthread.php?t=802)
А вот что пишут нам нормальные люди:
День добрый.
Внесу свою лепту для вашей статьи FrichX, спам, шантаж и сумасшедшие интернет-мошенники.
Заголовки письма полученного мной и немного размышлений:
Received: from ubrute by firehawk.websitewelcome.com with local (Exim 4.69)
(envelope-from <[email protected]>)
id 1PAAmG-00080p-EM
for ххх@хххх.хх; Sun, 24 Oct 2010 19:19:04 -0500
X-PHP-Script: ubrute.com/index.php for 193.239.129.212 (Билайн-Украина – прим. ред)
From: [email protected]
Date: Mon, 25 Oct 2010 03:18:55 +0300
Message-Id: <[email protected]>
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – firehawk.websitewelcome.com
X-AntiAbuse: Originator/Caller UID/GID – [4056 4054] / [47 12]
X-AntiAbuse: Sender Address Domain – hostpro.uaПросмотр websitewelcome.com показал мне прелестную страничку с одной строчкой на английском:
For abuse issues related to the websitewelcome.com domain, please email your complaint with any relevant logs to [email protected]
Владелец WSW – Большой-пребольшой регистратор(?) http://www.enom.com, а сам он из себя представляет мега-сервер какой-то, ибо NS у него наверное с сотню.
ubrute.com – сайт отключен за нарушение правил хостинга провайдером SpaceWeb (sweb.ru).
По Whois владелец – http://centrohost.ru (ныне – регистратор R01)IP 193.239.129.212 из диапазона Ukrainian Radio Systems.
Удачи в нелегком деле разоблачения "неадекватных"!
С уважением, Вячеслав
Как видите идиотизм крепчает с каждой рассылкой. А доктора все нет…
*****
Рекомендуем игнорировать всю эту лабуду, информация используемая мошенниками в этих письмах (адреса, телефоны и тд.) находится в открытом доступе и любой идиот может использовать ее таким вот способом. Еще можно обратиться в правоохранительные органы, приложив тексты писем с заголовками, но пользы пока от этого как видим немного, если они до сих пор шлют время от времени свои дебильные послания.
УК
Tweet
