Очередное письмо от любителей халавы:

From: eBay [Notice@ebay.com]
Subj: Fraud Case #FED-230

Dear eBay User,
During our regular update and verification of the accounts, we couldn't verify your current information. Either your information has changed or it is incomplete.
Please update and verify your information by signing in your account below :
If the account information is not updated to current information within 5 days then, your access to bid or buy on eBay will be restricted.
go to this link below:

http://www.ebay.com/accounts/memb..dll/avncenter/?dll87443%2213

***Please do not reply to this e-mail as you will not receive a response***

Thank you
Accounts Billing Department

Этот номер мне уже давно известен, но захотелось посмотреть - может чего новенького придумали ребята.


Естественно, что письмо пришло в формате html. Вот и ссылочка которая там есть, на e-bay выглядит как обычная ссылочка, честная такая, на eBay. Только html код у нее очень симпатичный:

< a h="h" ref="h ttp://210.134.225.39/
~web/ebay/update.php?/ebay.com/
hgdas676bsda6gwcv7zfcwfcwf34gf
wf23g235f134f3fg3f&bhdfahva6853
hgdas676bsda6gwcv7zfcwfcwf34gf
wf23g235f134f3fg3f&bhdfahva685
32hbhwseBayISAPI2hbhwseBay
ISAPI.dllPaymentLanding&ss
PageName=hhpayUSf&=userhgads
&secure&ssl.html">
h ttp://w ww.ebay.com/accounts/
memb..dll/avncenter/?dll87443%2213< / a>

Вот такой код (пришлось пробелы вставить чтобы вывелся здесь). Что мы видим? А видим мы соединение вовсе на eBay,а с 210.134.225.39
Кто же этот добрый "прокси"?

masu.ipc-tokai.or.jp (210.134.225.39)
210.128.0.0 - 210.135.255.255
Japan Network Information Center

Japan Network Information Center
Kokusai-Kougyou-Kanda Bldg 6F, 2-3-4 Uchi-Kanda
Chiyoda-ku, Tokyo 101-0047, Japan

Ой-ой! Это же не eBay, а его "добровольные помощники" :) А что они хотят? Я не спец в Php и прочих радостях жизни, но попав на этот адрес вы увидите интерфейс eBay. Это честный интерфейс eBay, но попал он туда выкачанный на этот сайт с настоящего сайта. Вводите свой пароль и ID и они скорее всего честно пойдут на eBay. Вас туда даже переключат после этого. Только пароль и логин останутся у веселых помощников :( И прощайте ваши денежки.

Давайте еще поржем над веселыми картинками. Вот например письмо - оно имеет поля From и даже Reply-To

From: "eBay" <notice@ebay.com>
Reply-To: "eBay" <notice@ebay.com>

Похоже на настоящие. Вот только подделывается это все на раз. Ктоже на самом деле это был?

Received: from 8.116.255.243 by 196.36.218.34; Sat, 27 Nov 2004 07:29:35 +0100


Значит отправил его

8.0.0.0 - 8.255.255.255
Level 3 Communications, Inc.
1025 Eldorado Blvd.
Broomfield, CO
US

Ну, это большая подсеть. Кто-то из больших мира сего хапнул кучу адресов. Один из них хакнули и отправили оттуда письмо.
А вот чей это почтовый сервер?

196.36.0.0 - 196.39.127.255
The Internet Solution
The Campus, 57 Sloane Street
Bryanston
Johannesburg, Gauteng
ZA

Ой, какие ребята хорошие. Весь мир в помощниках у eBay. Почтовый сервер из Южной Африки. Не ходите дети в Африку гулять. Или гуглять? Или ... нет, "лять" ассоциации нехорошие :)

В общем очередные любители спереть ваши денежки. С удовольствием поржал вместо визита на анекдот.ру :)