Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

fishing ? : info-at-impots-gouv-fr

14 réponses
Avatar
capfree
Bonjour.
J'ai reçu ce soir sur une adresse qui me sert exclusivement à des achats
sur internet, ceci :

Return-Path: <www-data@mail.eurocor.ro>
Delivered-To: free.fr-a......f@free.fr
Received: (qmail 23352 invoked from network); 22 Aug 2014 17:32:22 -0000
Received: from mx27-g26.free.fr (HELO mail.eurocor.ro) (212.27.42.89)
by mrelay6-g25.free.fr with SMTP; 22 Aug 2014 17:32:22 -0000
Received: from mail.eurocor.ro ([89.149.27.98])
by mx1-g20.free.fr (MXproxy) for af........f@free.fr;
Fri, 22 Aug 2014 19:32:22 +0200 (CEST)
X-ProXaD-SC: state=HAM score=30
Received: from mail.eurocor.ro (localhost [127.0.0.1])
by mail.eurocor.ro (Postfix) with ESMTP id A56FA841B8
for <a.........f@free.fr>; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: from localhost [127.0.0.1]
by BitDefender SMTP Proxy on localhost [127.0.0.1]
for localhost [127.0.0.1]; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: by mail.eurocor.ro (Postfix, from userid 33)
id 94BB68418D; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
To: a.....f@free.fr
Subject: Message Important
X-PHP-Originating-Script: 33:id.php(1) : eval()'d code
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: <info@impots.gouv.fr>
Message-Id: <20140822173247.94BB68418D@mail.eurocor.ro>
Date: Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
X-BitDefender-Spam: No (0)
X-BitDefender-SpamStamp: Build: [Engines: 2.15.3.18020, Dats: 363196,
Stamp: 3], Multi: [Enabled], BW: [Enabled], RBL DNSBL: [Enabled,
Score: 0(0)], APM: [Disabled], SGN: [Enabled], URL: [Enabled], URI
DNSBL: [Enabled, Timedout], RTDA: [Enabled, Hit: No, Details: v1.9.3;
Id: 2m1ghdm.18vnmjbmm.bqg1e], total: 0(775)
X-BitDefender-CF-Stamp: none
X-BitDefender-Scanner: Clean, Agent: BitDefender Smtp Proxy 3.1.0 on
mail.eurocor.ro, sigver: 7.56474
etc.......
suit un dossier à remplir

pour obtenir un remboursement d'un trop perçu d'impôts.

* * * * * * * * * * * * * * * * * * * * * *

D'habitude mes échange avec /mes trésors/ se font à l'adresse

<slr.versailles@dgfip.finances.gouv.fr>
pf2pusi002.dgfip.finances.gouv.fr
et
<ne_pas_repondre@dgfip.finances.gouv.fr>

Plus que louche, n'est-ce pas?
Merci

--
capfree -

10 réponses

1 2
Avatar
Matt
On Ven 22 août 2014 (23:29),
capfree wrote:

Bonjour.



Hello,

J'ai reçu ce soir sur une adresse qui me sert exclusivement à des achats
sur internet, ceci :

Return-Path:
Delivered-To:
Received: (qmail 23352 invoked from network); 22 Aug 2014 17:32:22 -0000
Received: from mx27-g26.free.fr (HELO mail.eurocor.ro) (212.27.42.89)
by mrelay6-g25.free.fr with SMTP; 22 Aug 2014 17:32:22 -0000
Received: from mail.eurocor.ro ([89.149.27.98])
by mx1-g20.free.fr (MXproxy) for ;
Fri, 22 Aug 2014 19:32:22 +0200 (CEST)
X-ProXaD-SC: state=HAM score0
Received: from mail.eurocor.ro (localhost [127.0.0.1])
by mail.eurocor.ro (Postfix) with ESMTP id A56FA841B8
for ; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: from localhost [127.0.0.1]
by BitDefender SMTP Proxy on localhost [127.0.0.1]
for localhost [127.0.0.1]; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: by mail.eurocor.ro (Postfix, from userid 33)
id 94BB68418D; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
To:
Subject: Message Important
X-PHP-Originating-Script: 33:id.php(1) : eval()'d code
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From:
Message-Id:
Date: Fri, 22 Aug 2014 20:32:47 +0300 (EEST)

[...]

Plus que louche, n'est-ce pas?



Bien sûr.

Cet email a été émis par un serveur basé en Roumanie et il est légitime
de conclure, même si la France est dans la zreqr, que la DGFiP n'a pas
de serveur dans ce pays :-)

Etrangement Free classifie ce message comme non spam.

--
<Sib> Windows en faites ça fait vachement évoluer les pc, faut pas croire :/
<Sib> Tout les jours, il me dit "Nouveau matériel détecté"
* http://bashfr.org/?5116
Avatar
Yliur
Le Fri, 22 Aug 2014 23:29:24 +0200
capfree a écrit :

Bonjour.
J'ai reçu ce soir sur une adresse qui me sert exclusivement à des
achats sur internet, ceci :

Return-Path:
Delivered-To:
Received: (qmail 23352 invoked from network); 22 Aug 2014 17:32:22
-0000 Received: from mx27-g26.free.fr (HELO mail.eurocor.ro)
(212.27.42.89) by mrelay6-g25.free.fr with SMTP; 22 Aug 2014 17:32:22
-0000 Received: from mail.eurocor.ro ([89.149.27.98])
by mx1-g20.free.fr (MXproxy) for ;
Fri, 22 Aug 2014 19:32:22 +0200 (CEST)
X-ProXaD-SC: state=HAM score0
Received: from mail.eurocor.ro (localhost [127.0.0.1])
by mail.eurocor.ro (Postfix) with ESMTP id A56FA841B8
for ; Fri, 22 Aug 2014 20:32:47 +0300
(EEST) Received: from localhost [127.0.0.1]
by BitDefender SMTP Proxy on localhost [127.0.0.1]
for localhost [127.0.0.1]; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
Received: by mail.eurocor.ro (Postfix, from userid 33)
id 94BB68418D; Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
To:
Subject: Message Important
X-PHP-Originating-Script: 33:id.php(1) : eval()'d code
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From:
Message-Id:
Date: Fri, 22 Aug 2014 20:32:47 +0300 (EEST)
X-BitDefender-Spam: No (0)
X-BitDefender-SpamStamp: Build: [Engines: 2.15.3.18020, Dats: 363196,
Stamp: 3], Multi: [Enabled], BW: [Enabled], RBL DNSBL: [Enabled,
Score: 0(0)], APM: [Disabled], SGN: [Enabled], URL: [Enabled], URI
DNSBL: [Enabled, Timedout], RTDA: [Enabled, Hit: No, Details:
v1.9.3; Id: 2m1ghdm.18vnmjbmm.bqg1e], total: 0(775)
X-BitDefender-CF-Stamp: none
X-BitDefender-Scanner: Clean, Agent: BitDefender Smtp Proxy 3.1.0 on
mail.eurocor.ro, sigver: 7.56474
etc.......
suit un dossier à remplir

pour obtenir un remboursement d'un trop perçu d'impôts.

* * * * * * * * * * * * * * * * * * * * * *

D'habitude mes échange avec /mes trésors/ se font à l'adresse


pf2pusi002.dgfip.finances.gouv.fr
et


Plus que louche, n'est-ce pas?
Merci



Oui. Ça a l'air de venir d'une adresse en Roumanie, qui n'a rien à voir
avec les adresses que tu mentionnes.

Je suppose que le dossier demande des infos personnelles et/ou que le
courriel contient des adresses (auxquelles il vaut mieux ne pas se
rendre du tout, même si le plus probable n'est pas qu'elle soit piégée
mais qu'elle contienne un pseudo-site des impôts qui va te demander des
infos personnelles).
Avatar
Yliur
Le Fri, 22 Aug 2014 21:56:32 +0000 (UTC)
Matt a écrit :

Etrangement Free classifie ce message comme non spam.



C'est un nouveau sans doute, il n'est pas encore reconnu.
Avatar
capfree
Le 23/08/2014 00:04, Yliur a écrit :
Le Fri, 22 Aug 2014 23:29:24 +0200
capfree a écrit :

etc.......
suit un dossier à remplir

pour obtenir un remboursement d'un trop perçu d'impôts.

* * * * * * * * * * * * * * * * * * * * * *

D'habitude mes échange avec /mes trésors/ se font à l'adresse


pf2pusi002.dgfip.finances.gouv.fr
et


Plus que louche, n'est-ce pas?
Merci



Oui. Ça a l'air de venir d'une adresse en Roumanie, qui n'a rien à voir
avec les adresses que tu mentionnes.

Je suppose que le dossier demande des infos personnelles et/ou que le
courriel contient des adresses (auxquelles il vaut mieux ne pas se
rendre du tout, même si le plus probable n'est pas qu'elle soit piégée
mais qu'elle contienne un pseudo-site des impôts qui va te demander des
infos personnelles).





En mode texte le contenu du mail:

IMPOTS.GOUV.FR <http://one4shops.com/&gt;
<http://click.mail.hotels.com/?qsS8D09S8D09S8D09S8098DS098F09S8F09S80F98S09F809S8F098S09F80S98F09S8F098S09F8S09F8SFJHS&gt;


**
<http://click.mail.hotels.com/?qs=S8D7QS987D98S7QD987QS98F798D7B98C7XB987V98XC7&gt;

* * * * * * * * * * * * * * * * * * * * * *

Le fichier source fait une centaine de lignes très longues.

Il n'y a que ça qui cible la Roumanie? : mail.eurocor.ro

--
capfree -
Avatar
capfree
Le 22/08/2014 23:56, Matt a écrit :
Etrangement Free classifie ce message comme non spam.



Ils sont en vacances ;-) j'ai 4 spam par jour, c'est très inhabituel.



--
capfree -
Avatar
Xavier Roche
Le 22/08/2014 23:29, capfree a écrit :
Received: (qmail 23352 invoked from network); 22 Aug 2014 17:32:22 -0000
Received: from mx27-g26.free.fr (HELO mail.eurocor.ro) (212.27.42.89)
by mrelay6-g25.free.fr with SMTP; 22 Aug 2014 17:32:22 -0000
Received: from mail.eurocor.ro ([89.149.27.98])
by mx1-g20.free.fr (MXproxy) for ;
Fri, 22 Aug 2014 19:32:22 +0200 (CEST)



La règle c'est de regarder les en-têtes "Received:" du haut en bas, et
de tracer l'origine.

Le premier (qmail 23352 invoked from network) est le logiciel de
livraison locale
Le second (from mx27-g26.free.fr by mrelay6-g25.free.fr) indique un
relais interne a Free
Le troisième (from mail.eurocor.ro ([89.149.27.98]) by mx1-g20.free.fr)
indique la véritable provenance, 89.149.27.98

organisation: ORG-iGS3-RIPE
org-name: iNES GROUP SRL
org-type: LIR
address: iNES Group SRL Iosif Szavuj 2-6 Virgil Madgearu st.
sector 1 014135 Bucharest ROMANIA
phone: +40 21 232 21 12
fax-no: +40 21 232 34 61
admin-c: BC2200-RIPE
admin-c: BP1868-RIPE
admin-c: DC1119-RIPE
admin-c: IS247-RIPE
admin-c: TU790-RIPE
mnt-ref: AS12310-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
abuse-mailbox:
abuse-c: AC24656-RIPE
source: RIPE # Filtered

role: iNES Internet NOC
address: 2-6 Virgil Madgearu st.
address: sector 1
address: Bucharest / ROMANIA

suit un dossier à remplir
pour obtenir un remboursement d'un trop perçu d'impôts.



Sur un site probablement hacké.

Quand je m'ennuie vraiment je m'amuse a bombarder ce genre de cgi de
millions de requêtes pour faire exploser la boite mail du spammeur en
face, ce qui a pour effet positif de noyer les éventuelles bonnes
réponses de victimes crédules.
Avatar
Az Sam
"capfree" a écrit dans le message de
news:53f7b634$0$5114$
Bonjour.
J'ai reçu ce soir sur une adresse qui me sert exclusivement à des achats
sur internet, ceci :

Return-Path:
From:
Message-Id:

D'habitude mes échange avec /mes trésors/ se font à l'adresse


pf2pusi002.dgfip.finances.gouv.fr
et


Plus que louche, n'est-ce pas?
Merci




Oui, et si on y trouve 1 indice en .ro, moi j'en reçois depuis des mois qui
ne sont absolument pas clairement identifiables :

Return-Path:
Received: from mwinf8511 (mwinf8511 [10.99.54.141])
by mwinb7301 (Cyrus v2.3.13) with LMTPA;
Fri, 23 May 2014 13:21:15 +0200
Received: from mail.static.s153.210.bp06.net ([86.64.210.153])
by mwinf8511 with ME
id 5PM31o00q3K7fBJ01PMDbc; Fri, 23 May 2014 13:21:15 +0200
From: "CAF"
Message-Id:


Bien entendu j'ai plusieurs fois signalé auprès de qui reste
silencieuse ainsi que sur tous les sites mentiionnés dans cette page :
http://www.caf.fr/actualites/2014/attention-aux-courriels-et-sites-internet-frauduleux
car ce domaine espmp-nifr.net ne sniffe pas la clareté absolue, n'ets
absolument pas caf.fr et n'est pas mentionné dans la page 2014 sus-citée.

Je vois bien les Michu aller faire un Whois sur ce domaine pour verifier...
en revanche on y voit le BP06.net, que l'on retrouve frequement dans les en
tetes de spammeurs.
Avatar
Matt
On Sam 23 août 2014 (00:07),
Yliur wrote:

C'est un nouveau sans doute, il n'est pas encore reconnu.



En effet, les spécimens que j'ai datent de l'année dernière.

--
Popallo: je suis l'highlander des etudiants
John^^: tu seras le dernier ? ^^
* http://bashfr.org/?4681
Avatar
Matt
On Sam 23 août 2014 (00:31),
capfree wrote:

Ils sont en vacances ;-) j'ai 4 spam par jour, c'est très inhabituel.



Peux-tu s'il te plaît me communiquer le contenu brut en masquant bien
sûr ton adresse mail (soit via pastebin.com ou ici même en ne
coupant pas les lignes) ?

--
X-plo > HELP. Je bouge plus de mon ordi...
DaTurA > T'es paraplé-geek?
* http://bashfr.org/?4543
Avatar
capfree
Le 23/08/2014 12:41, Matt a écrit :
On Sam 23 août 2014 (00:31),
capfree wrote:

Ils sont en vacances ;-) j'ai 4 spam par jour, c'est très inhabituel.



Peux-tu s'il te plaît me communiquer le contenu brut en masquant bien
sûr ton adresse mail (soit via pastebin.com ou ici même en ne
coupant pas les lignes) ?




J'ai collé le source intégral sur pastebin, mais l'anglais très peu pour
moi:

* 1 Day
* Public
* Paste Name fishing 22-08-2014

Avant de

* Submit
* Paste as a guest
?
Je «submit» et puis après ça donne quoi, un lien que je mets sur le
forum ou quoi d'autre?


--
capfree -
1 2