fishing ? : info-at-impots-gouv-fr

Le
capfree
Bonjour.
J'ai reçu ce soir sur une adresse qui me sert exclusivement à des achats
sur internet, ceci :

Return-Path: <www-data@mail.eurocor.ro>
Delivered-To: free.fr-af@free.fr
Received: (qmail 23352 invoked from network); 22 Aug 2014 17:32:22 -0000
Received: from mx27-g26.free.fr (HELO mail.eurocor.ro) (212.27.42.89)
by mrelay6-g25.free.fr with SMTP; 22 Aug 2014 17:32:22 -0000
Received: from mail.eurocor.ro ([89.149.27.98])
by mx1-g20.free.fr (MXproxy) for af..f@free.fr;
Fri, 22 Aug 2014 19:32:22 +0200 (CEST)
X-ProXaD-SC: state=HAM score0
Received: from mail.eurocor.ro (localhost [127.0.0.1])
by mail.eurocor.ro (Postfix) with ESMTP id A56FA841B8
for <af@free.fr>; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: from localhost [127.0.0.1]
by BitDefender SMTP Proxy on localhost [127.0.0.1]
for localhost [127.0.0.1]; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: by mail.eurocor.ro (Postfix, from userid 33)
id 94BB68418D; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
To: a..f@free.fr
Subject: Message Important
X-PHP-Originating-Script: 33:id.php(1) : eval()'d code
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <info@impots.gouv.fr>
Message-Id: <20140822173247.94BB68418D@mail.eurocor.ro>
Date: Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
X-BitDefender-Spam: No (0)
X-BitDefender-SpamStamp: Build: [Engines: 2.15.3.18020, Dats: 363196,
Stamp: 3], Multi: [Enabled], BW: [Enabled], RBL DNSBL: [Enabled,
Score: 0(0)], APM: [Disabled], SGN: [Enabled], URL: [Enabled], URI
DNSBL: [Enabled, Timedout], RTDA: [Enabled, Hit: No, Details: v1.9.3;
Id: 2m1ghdm.18vnmjbmm.bqg1e], total: 0(775)
X-BitDefender-CF-Stamp: none
X-BitDefender-Scanner: Clean, Agent: BitDefender Smtp Proxy 3.1.0 on
mail.eurocor.ro, sigver: 7.56474
etc.
suit un dossier à remplir

pour obtenir un remboursement d'un trop perçu d'impôts.

* * * * * * * * * * * * * * * * * * * * * *

D'habitude mes échange avec /mes trésors/ se font à l'adresse

<slr.versailles@dgfip.finances.gouv.fr>
pf2pusi002.dgfip.finances.gouv.fr
et
<ne_pas_repondre@dgfip.finances.gouv.fr>

Plus que louche, n'est-ce pas?
Merci

--
capfree -
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Matt
Le #26303565
On Ven 22 août 2014 (23:29),
capfree
Bonjour.



Hello,

J'ai reçu ce soir sur une adresse qui me sert exclusivement à des achats
sur internet, ceci :

Return-Path: Delivered-To:
Received: (qmail 23352 invoked from network); 22 Aug 2014 17:32:22 -0000
Received: from mx27-g26.free.fr (HELO mail.eurocor.ro) (212.27.42.89)
by mrelay6-g25.free.fr with SMTP; 22 Aug 2014 17:32:22 -0000
Received: from mail.eurocor.ro ([89.149.27.98])
by mx1-g20.free.fr (MXproxy) for ;
Fri, 22 Aug 2014 19:32:22 +0200 (CEST)
X-ProXaD-SC: state=HAM score0
Received: from mail.eurocor.ro (localhost [127.0.0.1])
by mail.eurocor.ro (Postfix) with ESMTP id A56FA841B8
for Received: from localhost [127.0.0.1]
by BitDefender SMTP Proxy on localhost [127.0.0.1]
for localhost [127.0.0.1]; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: by mail.eurocor.ro (Postfix, from userid 33)
id 94BB68418D; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
To:
Subject: Message Important
X-PHP-Originating-Script: 33:id.php(1) : eval()'d code
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Message-Id: Date: Fri, 22 Aug 2014 20:32:47 +0300 (EEST)

[...]

Plus que louche, n'est-ce pas?



Bien sûr.

Cet email a été émis par un serveur basé en Roumanie et il est légitime
de conclure, même si la France est dans la zreqr, que la DGFiP n'a pas
de serveur dans ce pays :-)

Etrangement Free classifie ce message comme non spam.

--
<Sib> Windows en faites ça fait vachement évoluer les pc, faut pas croire :/
<Sib> Tout les jours, il me dit "Nouveau matériel détecté"
* http://bashfr.org/?5116
Yliur
Le #26303564
Le Fri, 22 Aug 2014 23:29:24 +0200
capfree
Bonjour.
J'ai reçu ce soir sur une adresse qui me sert exclusivement à des
achats sur internet, ceci :

Return-Path: Delivered-To:
Received: (qmail 23352 invoked from network); 22 Aug 2014 17:32:22
-0000 Received: from mx27-g26.free.fr (HELO mail.eurocor.ro)
(212.27.42.89) by mrelay6-g25.free.fr with SMTP; 22 Aug 2014 17:32:22
-0000 Received: from mail.eurocor.ro ([89.149.27.98])
by mx1-g20.free.fr (MXproxy) for ;
Fri, 22 Aug 2014 19:32:22 +0200 (CEST)
X-ProXaD-SC: state=HAM score0
Received: from mail.eurocor.ro (localhost [127.0.0.1])
by mail.eurocor.ro (Postfix) with ESMTP id A56FA841B8
for (EEST) Received: from localhost [127.0.0.1]
by BitDefender SMTP Proxy on localhost [127.0.0.1]
for localhost [127.0.0.1]; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: by mail.eurocor.ro (Postfix, from userid 33)
id 94BB68418D; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
To:
Subject: Message Important
X-PHP-Originating-Script: 33:id.php(1) : eval()'d code
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Message-Id: Date: Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
X-BitDefender-Spam: No (0)
X-BitDefender-SpamStamp: Build: [Engines: 2.15.3.18020, Dats: 363196,
Stamp: 3], Multi: [Enabled], BW: [Enabled], RBL DNSBL: [Enabled,
Score: 0(0)], APM: [Disabled], SGN: [Enabled], URL: [Enabled], URI
DNSBL: [Enabled, Timedout], RTDA: [Enabled, Hit: No, Details:
v1.9.3; Id: 2m1ghdm.18vnmjbmm.bqg1e], total: 0(775)
X-BitDefender-CF-Stamp: none
X-BitDefender-Scanner: Clean, Agent: BitDefender Smtp Proxy 3.1.0 on
mail.eurocor.ro, sigver: 7.56474
etc.......
suit un dossier à remplir

pour obtenir un remboursement d'un trop perçu d'impôts.

* * * * * * * * * * * * * * * * * * * * * *

D'habitude mes échange avec /mes trésors/ se font à l'adresse

pf2pusi002.dgfip.finances.gouv.fr
et

Plus que louche, n'est-ce pas?
Merci



Oui. Ça a l'air de venir d'une adresse en Roumanie, qui n'a rien à voir
avec les adresses que tu mentionnes.

Je suppose que le dossier demande des infos personnelles et/ou que le
courriel contient des adresses (auxquelles il vaut mieux ne pas se
rendre du tout, même si le plus probable n'est pas qu'elle soit piégée
mais qu'elle contienne un pseudo-site des impôts qui va te demander des
infos personnelles).
Yliur
Le #26303563
Le Fri, 22 Aug 2014 21:56:32 +0000 (UTC)
Matt
Etrangement Free classifie ce message comme non spam.



C'est un nouveau sans doute, il n'est pas encore reconnu.
capfree
Le #26303568
Le 23/08/2014 00:04, Yliur a écrit :
Le Fri, 22 Aug 2014 23:29:24 +0200
capfree
etc.......
suit un dossier à remplir

pour obtenir un remboursement d'un trop perçu d'impôts.

* * * * * * * * * * * * * * * * * * * * * *

D'habitude mes échange avec /mes trésors/ se font à l'adresse

pf2pusi002.dgfip.finances.gouv.fr
et

Plus que louche, n'est-ce pas?
Merci



Oui. Ça a l'air de venir d'une adresse en Roumanie, qui n'a rien à voir
avec les adresses que tu mentionnes.

Je suppose que le dossier demande des infos personnelles et/ou que le
courriel contient des adresses (auxquelles il vaut mieux ne pas se
rendre du tout, même si le plus probable n'est pas qu'elle soit piégée
mais qu'elle contienne un pseudo-site des impôts qui va te demander des
infos personnelles).





En mode texte le contenu du mail:

IMPOTS.GOUV.FR

**

* * * * * * * * * * * * * * * * * * * * * *

Le fichier source fait une centaine de lignes très longues.

Il n'y a que ça qui cible la Roumanie? : mail.eurocor.ro

--
capfree -
capfree
Le #26303567
Le 22/08/2014 23:56, Matt a écrit :
Etrangement Free classifie ce message comme non spam.



Ils sont en vacances ;-) j'ai 4 spam par jour, c'est très inhabituel.



--
capfree -
Xavier Roche
Le #26303608
Le 22/08/2014 23:29, capfree a écrit :
Received: (qmail 23352 invoked from network); 22 Aug 2014 17:32:22 -0000
Received: from mx27-g26.free.fr (HELO mail.eurocor.ro) (212.27.42.89)
by mrelay6-g25.free.fr with SMTP; 22 Aug 2014 17:32:22 -0000
Received: from mail.eurocor.ro ([89.149.27.98])
by mx1-g20.free.fr (MXproxy) for ;
Fri, 22 Aug 2014 19:32:22 +0200 (CEST)



La règle c'est de regarder les en-têtes "Received:" du haut en bas, et
de tracer l'origine.

Le premier (qmail 23352 invoked from network) est le logiciel de
livraison locale
Le second (from mx27-g26.free.fr by mrelay6-g25.free.fr) indique un
relais interne a Free
Le troisième (from mail.eurocor.ro ([89.149.27.98]) by mx1-g20.free.fr)
indique la véritable provenance, 89.149.27.98

organisation: ORG-iGS3-RIPE
org-name: iNES GROUP SRL
org-type: LIR
address: iNES Group SRL Iosif Szavuj 2-6 Virgil Madgearu st.
sector 1 014135 Bucharest ROMANIA
phone: +40 21 232 21 12
fax-no: +40 21 232 34 61
admin-c: BC2200-RIPE
admin-c: BP1868-RIPE
admin-c: DC1119-RIPE
admin-c: IS247-RIPE
admin-c: TU790-RIPE
mnt-ref: AS12310-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
abuse-mailbox:
abuse-c: AC24656-RIPE
source: RIPE # Filtered

role: iNES Internet NOC
address: 2-6 Virgil Madgearu st.
address: sector 1
address: Bucharest / ROMANIA

suit un dossier à remplir
pour obtenir un remboursement d'un trop perçu d'impôts.



Sur un site probablement hacké.

Quand je m'ennuie vraiment je m'amuse a bombarder ce genre de cgi de
millions de requêtes pour faire exploser la boite mail du spammeur en
face, ce qui a pour effet positif de noyer les éventuelles bonnes
réponses de victimes crédules.
Az Sam
Le #26303617
"capfree" news:53f7b634$0$5114$
Bonjour.
J'ai reçu ce soir sur une adresse qui me sert exclusivement à des achats
sur internet, ceci :

Return-Path: From: Message-Id:
D'habitude mes échange avec /mes trésors/ se font à l'adresse

pf2pusi002.dgfip.finances.gouv.fr
et

Plus que louche, n'est-ce pas?
Merci




Oui, et si on y trouve 1 indice en .ro, moi j'en reçois depuis des mois qui
ne sont absolument pas clairement identifiables :

Return-Path: Received: from mwinf8511 (mwinf8511 [10.99.54.141])
by mwinb7301 (Cyrus v2.3.13) with LMTPA;
Fri, 23 May 2014 13:21:15 +0200
Received: from mail.static.s153.210.bp06.net ([86.64.210.153])
by mwinf8511 with ME
id 5PM31o00q3K7fBJ01PMDbc; Fri, 23 May 2014 13:21:15 +0200
From: "CAF" Message-Id:

Bien entendu j'ai plusieurs fois signalé auprès de qui reste
silencieuse ainsi que sur tous les sites mentiionnés dans cette page :
http://www.caf.fr/actualites/2014/attention-aux-courriels-et-sites-internet-frauduleux
car ce domaine espmp-nifr.net ne sniffe pas la clareté absolue, n'ets
absolument pas caf.fr et n'est pas mentionné dans la page 2014 sus-citée.

Je vois bien les Michu aller faire un Whois sur ce domaine pour verifier...
en revanche on y voit le BP06.net, que l'on retrouve frequement dans les en
tetes de spammeurs.
Matt
Le #26303622
On Sam 23 août 2014 (00:07),
Yliur
C'est un nouveau sans doute, il n'est pas encore reconnu.



En effet, les spécimens que j'ai datent de l'année dernière.

--
Popallo: je suis l'highlander des etudiants
John^^: tu seras le dernier ? ^^
* http://bashfr.org/?4681
Matt
Le #26303621
On Sam 23 août 2014 (00:31),
capfree
Ils sont en vacances ;-) j'ai 4 spam par jour, c'est très inhabituel.



Peux-tu s'il te plaît me communiquer le contenu brut en masquant bien
sûr ton adresse mail (soit via pastebin.com ou ici même en ne
coupant pas les lignes) ?

--
X-plo > HELP. Je bouge plus de mon ordi...
DaTurA > T'es paraplé-geek?
* http://bashfr.org/?4543
capfree
Le #26303663
Le 23/08/2014 12:41, Matt a écrit :
On Sam 23 août 2014 (00:31),
capfree
Ils sont en vacances ;-) j'ai 4 spam par jour, c'est très inhabituel.



Peux-tu s'il te plaît me communiquer le contenu brut en masquant bien
sûr ton adresse mail (soit via pastebin.com ou ici même en ne
coupant pas les lignes) ?




J'ai collé le source intégral sur pastebin, mais l'anglais très peu pour
moi:

* 1 Day
* Public
* Paste Name fishing 22-08-2014

Avant de

* Submit
* Paste as a guest
?
Je «submit» et puis après ça donne quoi, un lien que je mets sur le
forum ou quoi d'autre?


--
capfree -
Publicité
Poster une réponse
Anonyme