Scam vid byte av lösenord hos Absolute Poker

[Matfrid]

Jag bytte lösenord hos Absolute Poker, och fick snart ett mail med en validation key som skulle användas i pokerklienten för att bekräfta bytet.

 

Några timmar därefter kom ett falskt mail, som innehöll samma key men med en uppmaning att bekräfta genom att klicka på en länk, vilken går till en ip-address i Korea ( 59.6.230.53:8030/mnbr_apcom/email/email_validation.asp?)

 

"To validate your account simply click on the link below"

 

"Note: When validating through this link, please make sure your AbsolutePoker application is not running."

 

Jag vet inte hur de lyckats med detta. Alla mail headers får det att se ut som om eposten faktiskt kommer från Absolute Poker. De har tillgång till den validation key som jag hade fått från Absolute i ett tidigare mail.

 

Tittar man på alla headers ser man dock två skumma saker som inte förekommer i genuina mail från Absolute:

X-Mailer: in Argo X-Mailer Ver 1.0

Content-Type: text/html;

charset=iso-8859-1

 

Absolute använder nämligen 7-bitars ascii, och jag antar att Argo X-Mailer är en gratis mailserver som någon kör på sin pc.

 

Jag har anmält till diverse abuse-avdelningar, så vi får se om det kommer något svar.

[Joeduck]

Verkar lite skummt med dubbel validering, men troligen ej scamm.

[strater]

verkar ju som en väldigt skum scamm, vad skulle de kunna få ut av det? keyn används väl bara för att validera, kan alltså inte göra något med den egentligen? och det är ju ändå bara en länk, och länkar i sig kan ju inte vara farliga (typ)...

[brainslicer]

verkar ju som en väldigt skum scamm, vad skulle de kunna få ut av det? keyn används väl bara för att validera, kan alltså inte göra något med den egentligen? och det är ju ändå bara en länk, och länkar i sig kan ju inte vara farliga (typ)...

nu vet jag inte nåt om valideringen, man länkar och besök på sidor kan vara farligt... det är så strörsta delen sprids nuförtiden

 

 

http://www.sitic.se/publikationer/namnvart/bifogade-exe-filer-omodernt-hos-trojanmakare

Bifogade exe-filer omodernt hos trojanmakare

 

Eftersom många e-postfilter tar bort potentiellt farliga bilagor har bifogade exe-filer gått ur modet bland trojanerna. Istället har http-länkar i e-post blivit allt vanligare. Till och med ftp-länkar förekommer. Då användaren klickar på en länk laddas skadlig kod som utnyttjar en sårbarhet utan att någon interaktion med användaren krävs, en så kallad "drive-by-download". Ett annat vanligt knep är att övertala användaren att ladda ner och installera en skadlig exekverbar fil.

 

Läs mer på denna blogg:

http://www.f-secure.com/weblog/archives/00001398.html

[Matfrid]

verkar ju som en väldigt skum scamm, vad skulle de kunna få ut av det? keyn används väl bara för att validera, kan alltså inte göra något med den egentligen? och det är ju ändå bara en länk, och länkar i sig kan ju inte vara farliga (typ)...

 

Jag tror att det var tänkt som phishing, där länken gick till active server pages som lurar en att uppge kontots lösenord. Det är ju ett perfekt tillfälle att lura någon med detta vid byte av lösenord eller nyregistrering.

[Matfrid]

Verkar lite skummt med dubbel validering, men troligen ej scamm.

 

Ja, du hade rätt. Jag har fått svar från Absolute:

 

"We would like to inform you that we do send email to validate new account however we never request neither your password nor credit card numbers."

 

Det ursprungliga brevet har dock fastnat i gmail's phishing-filter, och min isp har också försett brevet med en varning, eftersom det kommer från Absolute men innehåller validering till en ip adress i Korea.

[SFN]

Spelar du fortfarande hos absolute poker efter allt som hänt med mygel?