[HACK] Mensaje sospechoso con Subject: Please Re-Activate Your CJB.NET Account

Fri Sep 6 13:43:03 CEST 2002

Buenas,

ayer recibí un mensaje muy sospechoso cuyo contenido adjunto* y cuyas
cabeceras podrán observar a continuación:

-------- Original Message ----------------------------------------------
From: - Wed Sep 04 21:28:15 2002
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
    >From marble Tue Sep 3 20: 41:47 2002
Return-Path: <admin at cjb.net>
Delivered-To: marble at localhost.marblestation.homeip.net
Received: from localhost (localhost [127.0.0.1]) by
sol.marblestation.homeip.net (Postfix) with ESMTP id 9878E5E84E for
<marble at localhost>; Tue, 3 Sep 2002 20:41:45 +0200 (CEST)
Received: from pop.ifrance.com [62.39.122.16] by localhost with POP3
(fetchmail-5.9.11) for marble at localhost (single-drop); Tue, 03 Sep 2002
20:41:46 +0200 (CEST)
Received: from 62.39.122.14 [62.39.122.14] by th01.opsion.fr id
200209022231.2610; Mon, 2 Sep 2002 22:31:39 GMT
Received: from 216.194.70.5 [216.194.70.5] by th01.opsion.fr id
200209022231.21f6; Mon, 2 Sep 2002 22:31:33 GMT
Received: (from root at localhost) by mail.cjb.net (8.11.6/8.11.6) id
g82MVbf11278 for marblestation at iespana.es; Mon, 2 Sep 2002 16:31:37
-0600 (MDT)
From: admin at cjb.net
Received: from localhost.com ([212.98.29.118]) by mail.cjb.net
(8.11.6/8.11.6) with SMTP id g82MVSb11172 for
<webmaster at marblestation.cjb.net>; Mon, 2 Sep 2002 16:31:29 -0600 (MDT)
Message-Id: <200209022231.g82MVSb11172 at mail.cjb.net>
Reply-To: admin at cjb.net
To: webmaster at marblestation.cjb.net
Date: Tue, 3 Sep 2002 01:14:02 +0300
Subject: Please Re-Activate Your CJB.NET Account
X-Mailer: MailXSender 1.02
MIME-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: base64
inbrfwd: 1
----------------------------------------------------------------------

el cuerpo del mensaje, si es visualizado bajo mozilla mail que soporta
la interpretación de html, contiene una replica exacta de la web
www.cjb.net la cual se dedica a ofrecer dominios del estilo
nombre.cjb.net para paginas web y direcciones del tipo
usuario at nombre.cjb.net. En el mail se indica que se debe actualizar y
logear en la web para no perder el dominio... pero curiosamente si
observamos el código se puede encontrar que el formulario realmente
apunta a:

<form action="http://pub23.bravenet.com/emailfwd/senddata.php"
method="post" enctype="multipart/form-data">

Mientras que el formulario de entrada de la web www.cjb.net es:

<form action=http://www.cjb.net/cgi-bin/account.cgi method=post>

Es decir, por lo vistos todos los datos introducidos (login y pass) son
enviados a alguna cuenta de correo (emailfwd) que nada tiene que ver con
www.cjb.net.

El mail lo recibí a través de la cuenta webmaster at marblestation.cjb.net,
es decir, no utilizaron tampoco la dirección que te piden para darte de
alta en sus servicios.

Por tanto, todo aquel que utilice los servicios de www.cjb.net y reciba
un mail del estilo adjuntado... aconsejo que lo ignoren y no introduzcan
sus login/passwords por motivos evidentes.

Saludos.

*RECTIFICACIÓN: El contenido del mail que decía inicialmente que estaba 
adjunto lo que quitado para cumplir con la política de no adjuntar 
archivos en mensajes de la lista.

-- 

    [Marble Station]
    Registered LiNUX user #140941  <>  Powered by Slackware
    URL: http://marblestation.cjb.net
    GnuPG key: 0x0ED2CF9D  <>  pgp.escomposlinux.org
    Instant Messengers:
     -> JabberID: Sergio at myjabber.net
     -> ICQ UIN: 45738543
     -> MSN: MarbleKiD at hotmail.com
     -> Yahoo: marblestation
     -> AIM: marblestation
--- hpt + GoldED+/LNX + BinkD
* Origin: RafaSTD BBS (2:341/14.88 at fidonet)