Toon posts:

Mogelijke dating scam verzonden via Gmail, geen spam?

Pagina: 1
Acties:

donderdag 11 augustus 2022 15:30

Acties:
  • 0 Henk 'm!
  • Sysosmaster
  • Registratie: Juni 2003
  • Laatst online: 06-09 20:17

Sysosmaster

Topicstarter
Ik kreeg vandaag de volgende mail binnen op een gmail account:
Afbeeldingslocatie: https://tweakers.net/i/GbteRHbStw1u2qy0JoUduNcIdMM=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/S0QYBSsRG1IqfFKj3wB1fGHY.png?f=user_large

na wat reverse image searching (koste wat moeite want is niet via de standaard te vinden)
vond ik dit:

Afbeeldingslocatie: https://tweakers.net/i/KcyCyL8YXR_Da9OME9_Qpv6OoxQ=/x800/filters:strip_exif()/f/image/CDkgpKPdoPgrr2zwYnKUh0d0.png?f=fotoalbum_large
https://vk.com/wall83431365_9615

de Header ziet er zo uit:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47

Delivered-To: <SNIP>@gmail.com
Received: by 2002:a05:6359:a07:b0:b3:7369:24af with SMTP id el7csp165827rwb;
        Wed, 10 Aug 2022 20:54:10 -0700 (PDT)
X-Google-Smtp-Source: AA6agR7VEZ6QVsUY992pHIvw8MKvPlSlMd1vldRnPwIOFBzp0GPb2eWopzlv+VU2lgDWREPbAMe1
X-Received: by 2002:a17:902:f608:b0:16d:20a0:5339 with SMTP id n8-20020a170902f60800b0016d20a05339mr30002618plg.133.1660190050407;
        Wed, 10 Aug 2022 20:54:10 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1660190050; cv=none;
        d=google.com; s=arc-20160816;
        b=M9MRn+GWTtDlXY5u1ZAnslo0ADA/DLi8IvuUSn0a3LeSliyoeT/EoMzbymwpVcbkA8
         G9NNXNlfOpt0JaIDototi2uEd4mtj4PgZQ0Sz9oH+qsbi1jLkUTqtkiYamlZHiGbtTDe
         ra6Ug3nINOUjLEqN9M8ZB0RvtKq5GsaWInzvQmV7gDPX9xUyPn4fFdpjit8Dv1srWljz
         9961pZNShP8Qz1SEx9M5tu2L+l5YuumdmLphaWMd/l4fBDCzhiAhAEIBGRI+HOKL9qx0
         ezZpiIBrxCPk51Hq0v7FHfyfTmI3r8VC0zPtNnq0UzJ2MkynKV3Uf/qKai30NFCJZq5H
         OgxQ==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=mime-version:to:subject:message-id:from:date;
        bh=OYNFjoi2AGDraWL0/L/FEbn5WUcNDpwyFnaM3kiy1t0=;
        b=R/iCOgYp0CHBu+XwFD7XPN1kHyIfXcSzJo2R0gIosVPdlYCdwjLdMVPlNWZ3Bi+CHn
         LoE8y3r4SEP8Awvm5BcivCk+Mbm9C71o/JtZ+IXEe1GnFEqDVErqygDaZCVk38YWbOes
         yzHfQ9GjkFHSXTxopehcUzmTzSC9xk3bste7aqGgdQNLv0fjfvdReX8zaZCgFrAnUS5i
         xKkPGJsURmkbdzAjBk8yStMXmkAUk3nOy1t0UbBLOMZYKCi1kth5fhM9hQSHqunGqSVT
         0dBGQ06LWdcypTuX6Df5h2+gOUjrpAF/EYZt1+ROQBJ27t97Sh87hTTcaHoxjL9LG/c4
         mmsQ==
ARC-Authentication-Results: i=1; mx.google.com;
       spf=pass (google.com: domain of b5342158@ms71.hinet.net designates 2001:b000:1c9:10:168:95:4:116 as permitted sender) smtp.mailfrom=b5342158@ms71.hinet.net;
       dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
Return-Path: <b5342158@ms71.hinet.net>
Received: from msr16.hinet.net (msr16.hinet.net. [2001:b000:1c9:10:168:95:4:116])
        by mx.google.com with ESMTPS id l16-20020a170903245000b0016c60e0b6besi21495056pls.80.2022.08.10.20.54.09
        for <<SNIP>@gmail.com>
        (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
        Wed, 10 Aug 2022 20:54:10 -0700 (PDT)
Received-SPF: pass (google.com: domain of b5342158@ms71.hinet.net designates 2001:b000:1c9:10:168:95:4:116 as permitted sender) client-ip=2001:b000:1c9:10:168:95:4:116;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of b5342158@ms71.hinet.net designates 2001:b000:1c9:10:168:95:4:116 as permitted sender) smtp.mailfrom=b5342158@ms71.hinet.net;
       dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
Received: from lasqueti.com (ip-2607-F298-0005-115B-0000-0000-0D78-33FB.dreamhost.com [IPv6:2607:f298:5:115b:0:0:d78:33fb]) (authenticated bits=0) by msr16.hinet.net (8.15.2/8.15.2) with ESMTPSA id 27B3s50V016657 (version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO) for <<SNIP>@gmail.com>; Thu, 11 Aug 2022 11:54:07 +0800
Date: Wed, 10 Aug 2022 20:54:08 -0700
From: Tatiana Tatiana <lfilm967@gmail.com>
Message-ID: <<SNIP>@mail.gmail.com>
Subject: tijd
To: <SNIP>@gmail.com
X-TFWJKM: YjA0ODNkYTRjODQwMDNkMTY5ODY0ODNlYjk0MDhiYzQ=
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="d3aa_D3AACA09CA1-7006229FC8CFDC23B"
X-CMAE-Score: 0
X-CMAE-Analysis: v=2.4 cv=f5eNuM+M c=1 sm=1 tr=0 ts=62f47d60 a=x7bEGLp0ZPQA:10 a=ZHSyuJl2GvEA:10 a=45nE4Eu45uEb53_A96YA:9 a=QEXdDO2ut3YA:10 a=_W_S_7VecoQA:10 a=Z-R3B3raj4Jmo7pyK38A:9 a=FentShdB3M6tulaE:18 a=KQqxNPgzF0kA:10 a=VEiTNn8F7TgA:10 a=spvwUOvgqbbia2jXmk1X:22


Hebben andere ook deze soort al gezien, welke nog niet door Google als spam worden herkent?
(en zo wie zo, die je voordeel er mee om jezelf en anderen veilig te houden)

donderdag 11 augustus 2022 15:44

Acties:
  • +5 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 08-09 13:19

MAX3400

XBL: OctagonQontrol

Ik zie nergens in haar bericht dat ze blote foto's van jou heeft; klinkt dus niet echt als sextortion.

En gezien de willekeurigheid van de afzender etc; ik weet niet of we elk spam-mailtje op GoT moeten posten; dan wordt het wel heel druk met dingen waar we weinig tegen kunnen doen?

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

donderdag 11 augustus 2022 15:48

Acties:
  • 0 Henk 'm!
  • Sysosmaster
  • Registratie: Juni 2003
  • Laatst online: 06-09 20:17

Sysosmaster

Topicstarter
het was meer dat google, welke best goed is in het opsporen an dit soort mails, het niet auto aangemerkt had als spam (score 0).

Ook is er gebruik gemaakt van een 'legitieme' mail bron., en is het NL specifiek.

de sextortion is waar deze opzet naar neigt bij mij...

donderdag 11 augustus 2022 17:20

Acties:
  • 0 Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 22:57

AW_Bos

Liefhebber van nostalgie... 🕰️

Ik zie er ook geen sextortion in.

De scammer die infeite niet deze vrouw zal zijn (wat een verrassing, hè :+ ) zal een gezellig gesprek met je aangaan, je vertrouwen proberen te winnen, vertellen dat ze naar Nederland op visite komt, en vervolgens bedelen om geld omdat ze op het vliegveld beroofd is van haar portefeuille. Uiteraard is het 9/10 gewoon een Nigeriaan in een ranzig uitgewoond Yahoo-boys huis ergens in Nigeria.

Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

donderdag 11 augustus 2022 17:29

Acties:
  • 0 Henk 'm!
  • heuveltje
  • Registratie: Februari 2000
  • Laatst online: 09:53

heuveltje

KoelkastFilosoof

Sysosmaster schreef op donderdag 11 augustus 2022 @ 15:48:
het was meer dat google, welke best goed is in het opsporen an dit soort mails, het niet auto aangemerkt had als spam (score 0).

Ook is er gebruik gemaakt van een 'legitieme' mail bron., en is het NL specifiek.

de sextortion is waar deze opzet naar neigt bij mij...
Zo goed is google daar echt niet altijd in.
Ik krijg al jaren 1 of 2 berichten per maand met :

Van : Vrouwelijke naam <email adres van random letters>
Onderwerp : <voornaam>
Hey <voornaam> where are you

en gestuurd naar het adres wat ik jaren geleden eens op een vage site heb gebruikt.

Meerder keren als spam gemeld. Je zou denken dat google dat zeer makkelijk kan uitfilteren.
Maar blijft komen :(

Nog vreemder is dat ik nog steeds niet snap wat de scam dan zou zijn ? paar keer uit nieuwschierigheid gereageerd op zon mail, maar dan krijg je dan ook weer 0 reactie op.

[ Voor 4% gewijzigd door heuveltje op 11-08-2022 20:03 ]

Heuveltjes CPU geschiedenis door de jaren heen : AMD 486dx4 100, Cyrix PR166+, Intel P233MMX, Intel Celeron 366Mhz, AMD K6-450, AMD duron 600, AMD Thunderbird 1200mhz, AMD Athlon 64 x2 5600, AMD Phenom X3 720, Intel i5 4460, AMD Ryzen 5 3600 5800x3d

donderdag 11 augustus 2022 18:10

Acties:
  • +2 Henk 'm!
  • Sysosmaster
  • Registratie: Juni 2003
  • Laatst online: 06-09 20:17

Sysosmaster

Topicstarter
heuveltje schreef op donderdag 11 augustus 2022 @ 17:29:
[...]
Nog vreemder is dat ik nog steeds niet snap wat ze er mee willen :? paar keer uit nieuwschierigheid gereageerd, maar dan hoor je er nooit meer wat van.
Daar komt mijn sextortion vandaan... iets wat te voorbarig is gebaseerd op de reacties tot nu toe. (maar ik zie nergens een manier om dat te editen) :(

op mijn mail server zou deze mail namelijk gewoon als spam worden aangemerkt. want als ik m door een mail-header parser haal krijg ik het volgende:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186

-----------------------------------------
(1) Test: Received - Mail Servers Flow

HEADER:
    Received

VALUE:
    ...

ANALYSIS:

- List of server hops used to deliver message:

          --> (0) From: Tatiana Tatiana <lfilm967@gmail.com>

              |_> (1) lasqueti.com (IPv6:2607:f298:5:115b:0:0:d78:33fb)
                      rev-DNS:  ip-2607-f298-0005-115b-0000-0000-0d78-33fb.dreamhost.com
                      time:     2022-08-11 03:54:07+00:00
                      id:       27B3s50V016657 (version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO)
                      by:       msr16.hinet.net (8.15.2/8.15.2)
                      with:     ESMTPSA
                      extra:
                          - authenticated bits=0
                          - 8.15.2/8.15.2
                          - version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO

                  |_> (2) msr16.hinet.net (2001:b000:1c9:10:168:95:4:116)
                          time:     2022-08-11 03:54:10+00:00
                          id:       l16-20020a170903245000b0016c60e0b6besi21495056pls.80.2022.08.10.20.54.09
                          by:       mx.google.com
                          with:     ESMTPS
                          for:      <<SNIP>@gmail.com> (version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256)
                          extra:
                              - version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256

                      |_> (4) To: <SNIP>@gmail.com


-----------------------------------------
(2) Test: Extracted IP addresses

ANALYSIS:

- Extracted IP addresses from headers and attempted to resolve them:

- Found IP address: 022.08.10.20
                - IP Geo metadata:
                        - status      : fail
                        - message     : invalid query
                        - query       : 022.08.10.20


-----------------------------------------
(3) Test: Extracted Domains

ANALYSIS:

- Extracted domains from headers and attempted resolve them:


        - Found Domain:   ms71.hinet.net
                - that resolves to: 168.95.4.71

        - Found Domain:   google.com
                - that resolves to: 216.58.208.110

        - Found Domain:   gmail.com
                - that resolves to: 142.251.36.37

        - Found Domain:   smtp.mailf

        - Found Domain:   ip-2607-F298-0005-115B-0000-0000-0D78-33FB.dreamhost.com

        - Found Domain:   mail.gmail.com

        - Found Domain:   msr16.hinet.net
                - that resolves to: 168.95.4.116

        - Found Domain:   mx.google.com

        - Found Domain:   lasqueti.com
                - that resolves to: 66.33.208.90

        - Found Domain:   IMG_98667170.jpg


-----------------------------------------
(4) Test: Authentication-Results

HEADER:
    Authentication-Results

VALUE:
    mx.google.com; spf=pass (google.com: domain of b5342158@ms71.hinet.net designates
    2001:b000:1c9:10:168:95:4:116 as permitted sender) smtp.mailfrom=b5342158@ms71.hinet.net;
    dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com

ANALYSIS:

- There were 1 headers named Authentication-Results. The 1. one is considered problematic:

- DMARC test failed: Should be "pass", but was: "fail"


-----------------------------------------
(5) Test: ARC-Authentication-Results

HEADER:
    ARC-Authentication-Results

VALUE:
    i=1; mx.google.com; spf=pass (google.com: domain of b5342158@ms71.hinet.net designates
    2001:b000:1c9:10:168:95:4:116 as permitted sender) smtp.mailfrom=b5342158@ms71.hinet.net;
    dmarc=fail (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com

ANALYSIS:

- There were 1 headers named ARC-Authentication-Results. The 1. one is considered problematic:

- DMARC test failed: Should be "pass", but was: "fail"


-----------------------------------------
(6) Test: Received-SPF

HEADER:
    Received-SPF

VALUE:
    pass (google.com: domain of b5342158@ms71.hinet.net designates 2001:b000:1c9:10:168:95:4:116 as
    permitted sender) client-ip=2001:b000:1c9:10:168:95:4:116;

ANALYSIS:

- Decomposition:
        - pass (google.com: domain of b5342158@ms71.hinet.net designates 2001:b000:1c9:10:168:95:4:116 as permitted sender) client-ip: 2001:b000:1c9:10:168:95:4:116
        -


-----------------------------------------
(7) Test: Domain Impersonation

HEADER:
    From

VALUE:
    Tatiana Tatiana <lfilm967@gmail.com>

ANALYSIS:

- Mail From: <lfilm967@gmail.com>>

        - Mail Domain: gmail.com>
                       --> resolves to:
                           --> reverse-DNS resolves to:
                               (sender's domain: gmail.com)

        - First Hop:   lasqueti.com (IPv6:2607:f298:5:115b:0:0:d78:33fb)
                       --> resolves to: 66.33.208.90
                           --> reverse-DNS resolves to: ip-2607-f298-0005-115b-0000-0000-0d78-33fb.dreamhost.com
                               (first hop's domain: dreamhost.com)


- WARNING! Potential Domain Impersonation!
        - Mail's domain should resolve to:      gmail.com
        - But instead first hop resolved to:    dreamhost.com


-----------------------------------------
(8) Test: SMTP Header Contained IP address

ANALYSIS:

(01) Header: Received  contained an IP address:
             Value    :    2022.08.10.20.54.09


-----------------------------------------
(9) Test: Security Appliances Spotted

ANALYSIS:

- During headers analysis, spotted following clues about Security Appliances:

        - Cloudmark Security Platform
------------------------------------------
bron: https://github.com/mgeeky/decode-spam-headers

ik ben gewend dat google mail met failed DMARC en met foute DNS resolve voor hun eigen domain als spam bestempeld.

donderdag 11 augustus 2022 19:50

Acties:
  • 0 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 09:28

kodak

FP ProMod
@Sysosmaster het nadeel van automatisch herkennen is nu eenmaal dat het niet altijd werkt zoals je hoopt. Dus zoals bij je voorbeeld, dat mail waarvan jij verwacht dat het wel automatisch als ongewenst zal worden verwerkt het toch een ander resultaat geeft.

Ongeacht waarom jij meent dat het ongewenst zou moeten zijn (want dat hangt waarschijnlijk van veel meer factoren af dan je noemt), je kunt Google mail helpen door de mail zelf als ongewenst te markeren.
Daar help je misschien jezelf voor deze mail niet meer mee, maar het is een hulp om jezelf en anderen wat te helpen een misschien nog beter filter te krijgen.

Uitleg over het melden staat hier:
https://support.google.com/mail/answer/8253

Afvragen wat er mis is gegaan heeft waarschijnlijk geen zin, je kan namelijk niet zien hoe dat filter precies werkt, hooguit wat de uitkomst is.

maandag 15 augustus 2022 10:19

Acties:
  • 0 Henk 'm!
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 09-09 17:52

Jazzy

Moderator SSC/PB

Moooooh!

Sysosmaster schreef op donderdag 11 augustus 2022 @ 18:10:
Daar komt mijn sextortion vandaan... iets wat te voorbarig is gebaseerd op de reacties tot nu toe. (maar ik zie nergens een manier om dat te editen) :(
Jij kunt dat niet, maar de moderators wel en helpen je graag. De makkelijkste manier is om je bericht onder onze aandacht te brengen door op Rapporteren te klikken en dan even een korte beschrijving toe te voegen.

In dit geval heb ik de titel wat verduidelijkt. Denk dat de post hierboven het goed samenvat verder en vraag me af of er nog veel discussiewaarde is.

Exchange en Office 365 specialist. Mijn blog.

maandag 15 augustus 2022 12:13

Acties:
  • +1 Henk 'm!
  • Sysosmaster
  • Registratie: Juni 2003
  • Laatst online: 06-09 20:17

Sysosmaster

Topicstarter
kodak schreef op donderdag 11 augustus 2022 @ 19:50:
@Sysosmaster het nadeel van automatisch herkennen is nu eenmaal dat het niet altijd werkt zoals je hoopt. Dus zoals bij je voorbeeld, dat mail waarvan jij verwacht dat het wel automatisch als ongewenst zal worden verwerkt het toch een ander resultaat geeft.

Ongeacht waarom jij meent dat het ongewenst zou moeten zijn (want dat hangt waarschijnlijk van veel meer factoren af dan je noemt)...
op mijn eigen mail server werkte e filters wel, vandaar mijn verbazing.

en uiteraard was rapporteren het eerste wat ik deed voordat ik de post maakte ;)

maandag 15 augustus 2022 12:14

Acties:
  • 0 Henk 'm!
  • Sysosmaster
  • Registratie: Juni 2003
  • Laatst online: 06-09 20:17

Sysosmaster

Topicstarter
Jazzy schreef op maandag 15 augustus 2022 @ 10:19:
[...]

Jij kunt dat niet, maar de moderators wel en helpen je graag. De makkelijkste manier is om je bericht onder onze aandacht te brengen door op Rapporteren te klikken en dan even een korte beschrijving toe te voegen.

In dit geval heb ik de titel wat verduidelijkt. Denk dat de post hierboven het goed samenvat verder en vraag me af of er nog veel discussiewaarde is.
aha, bedankt. en nee, topic heeft zijn functie gehad.
als ik m kan sluiten doe ik dat, anders mag een mod dat ook doen.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq