🚀 go-pugleaf

Tue, 17 Aug 2021 17:28:33 +0200, w
<1uepr6hacrufv$.1kns4i44btgbh$.dlg@40tude.net>, Jacek Maciejewski
<jacmac@go2.pl> napisa³(-a):

> Kto¶ ostatnio rozsy³a dziwny spam. W tre¶ci ma ko³o setki czy dwóch
> latynosko wygl±daj±cych s³ów, cytujê kawa³ek:
> "vida ponto caso lembre localizar m arte segmento ssaro casaco calma g
> multid rico recolher corpo qualquer sat guerra lavagem colocar ltimo
> tanto de som esposa escala alguns rocha milho caber aprender efeito
> poema o desenhar onde cauda bebida imaginar sentir tomo o dio nuvem
> desgaste p planeta casa terra superf ouvir fazer cabelo o estado am
> grande pesco gina plano pa matar trilho m saltar cil divers acontecer
> uma que amarrar"
> Nag³ówek temat zbli¿ony do takiego:
> Temat: Próbujemy siê z 358 tob± skontaktowaæ hobo -NcIIqYrUoHeXdzVgJXx-
> Kto¶ ma pojêcie czemu to mo¿e s³uzyæ?

Pewnie, aby zmyliæ spam filtry.

Dnia Tue, 17 Aug 2021 17:29:40 +0200, radekp@konto.pl napisał(a):

> Tue, 17 Aug 2021 17:28:33 +0200, w
> <1uepr6hacrufv$.1kns4i44btgbh$.dlg@40tude.net>, Jacek Maciejewski
> <jacmac@go2.pl> napisał(-a):
>
>> Ktoś ostatnio rozsyła dziwny spam. W treści ma koło setki czy dwóch
>> latynosko wyglądających słów, cytuję kawałek:
>> "vida ponto caso lembre localizar m arte segmento ssaro casaco calma g
>> multid rico recolher corpo qualquer sat guerra lavagem colocar ltimo
>> tanto de som esposa escala alguns rocha milho caber aprender efeito
>> poema o desenhar onde cauda bebida imaginar sentir tomo o dio nuvem
>> desgaste p planeta casa terra superf ouvir fazer cabelo o estado am
>> grande pesco gina plano pa matar trilho m saltar cil divers acontecer
>> uma que amarrar"
>> Nagłówek temat zbliżony do takiego:
>> Temat: Próbujemy się z 358 tobą skontaktować hobo -NcIIqYrUoHeXdzVgJXx-
>> Ktoś ma pojęcie czemu to może słuzyć?
>
> Pewnie, aby zmylić spam filtry.

NO OK, ale przeciez treść nie niesie żadnego przesłania. Chyba że jest
głęboko ukryte :)
--
Jacek
-I hate haters-

Osoba podpisana jako Jacek Maciejewski <jacmac@go2.pl>
w artykule <news:1uepr6hacrufv$.1kns4i44btgbh$.dlg@40tude.net> pisze:

> Ktoś ostatnio rozsyła dziwny spam.

Tym zajmuje się grupa pl.internet.mordplik.

>  W treści ma koło setki czy dwóch
> latynosko wyglądających słów, cytuję kawałek:
>
> "vida ponto caso lembre localizar m arte segmento ssaro casaco calma g
> multid rico recolher corpo qualquer sat guerra lavagem colocar ltimo
> tanto de som esposa escala alguns rocha milho caber aprender efeito
> poema o desenhar onde cauda bebida imaginar sentir tomo o dio nuvem
> desgaste p planeta casa terra superf ouvir fazer cabelo o estado am
> grande pesco gina plano pa matar trilho m saltar cil divers acontecer
> uma que amarrar"

Tekst wygląda na "Lorem ipsum" wygenerowane z portugalskich źródeł, ale
gdzieś tam powinny być linki. Powinieneś cytować albo chociaż obejrzeć
źródła, bo to prawdopodobnie jest text/html.

> Nagłówek temat zbliżony do takiego:
> Temat: Próbujemy się z 358 tobą skontaktować hobo -NcIIqYrUoHeXdzVgJXx-

I tu znowu nie są źródła, temat był zapewne w UTF-8. Ten zakodowany (w
Base64?) ciąg na końcu może zawierać tekst zapisany znakami wyglądającymi
jak litery lub emoji. Gdyby był rozkodowany, dałoby się ustalić tematykę
listu – prawdopodobnie kopanie kryptowalut. A może coś nowego? Albo
starego, np. rzekoma wygrana na loterii?

> Ktoś ma pojęcie czemu to może słuzyć?

To script kiddie przeładowuje maszynkę do spamowania. Być może czegoś nie
dopilnował. Tego typu wiadomości to jeden z wariantów przychodzącego od
ponad roku „spamu Dworczyka”. Gdybyś przeglądał źródła, zapewne znalazłbyś
jakiś rosyjski trop.

Drugim typowym wariantem są seksrandki. Tu trop jest oczywisty, bo tekst
ma zadeklarowany zestaw windows-1251 i rosyjską zawartość.
Wzór typowego wariantu seksrandki:

From: "Imię i nazwisko żeńskie po rosyjsku" <adres@w.domenie.ru>
Subject: Dating for sex - xyz - Imię po rosyjsku

xyz to ciąg trzech losowych znaków (cyfry lub litery łacińskie)

Treść w html zawiera fragmenty „Harrego Pottera” po rosyjsku przeplatane
podanym jako tekst (bez otagowania <a href="link">opis</a>) linkiem do
jednej strony z nazwą lub TLD wskazująca na Rosję.
Sam tekst wygląda jakoś tak:

/----
Твой мир http://coffeevip.ru
Впрочем, внутри замка Гарри преследовало точно такое же ощущение: дела шли
из рук вон плохо http://coffeevip.ru
Гарри сразу же догадался, что именно эти глаза глядели на него из садовой
изгороди сегодня утром http://coffeevip.ru
Поэтому я решил показать тебе знаменитую сцену поимки мною этой
неотёсанной дубины, Огрида, чтобы заслужить твоё доверие
http://coffeevip.ru
Зная, что у него в запасе всего несколько секунд, Гарри выпрямился,
прицелился и подкинул петарду вверх; она приземлилась прямёхонько в цель в
котел к Гойлу http://coffeevip.ru
Если разрешения нет, то в деревню ходить нельзя http://coffeevip.ru
Он не был упомянут ни в Великих колдунах двадцатого века, ни в Кто есть
кто: знаменитые волшебники нашей эпохи; далее, его имя отсутствовало как в
Важнейших открытиях современной магии, так и в Этюде о новейших тенденциях
колдовства http://coffeevip.ru
Что хочет сказать Реддль? Как можно провести когото по чужим
воспоминаниям? Он испуганно глянул на дверь в спальню http://coffeevip.ru
Огрид, мы не можем http://coffeevip.ru
Я бы http://coffeevip.ru
Плач мандрагоры смертелен для всякого, кто его услышит, выпалила она
http://coffeevip.ru
Выбросишь ее и дашь ему в нос, не задумался Рон http://coffeevip.ru
Смотри! шепнула Гермиона http://coffeevip.ru
Принеси ещё коробку желейных улиток, дорогой, они уже всё смели
http://coffeevip.ru
О, нет, сэр, нет… Добби придется пресурово наказать себя за приход сюда,
сэр http://coffeevip.ru
А ведь у папы есть некоторые очень ценные предметы черной магии
http://coffeevip.ru
Потом вся школа ещё сидела за столами он погнал ребят
на поле, чтобы оглядеться http://coffeevip.ru
Было ясно, что он не единственный, кто ничего не понимает; Дин Томас пожал
плечами, поймав его взгляд, Лаванда Браун выглядела озадаченной
http://coffeevip.ru
Комментарий Ли потонул в воплях Бууу!, понёсшихся со слизеринского конца
http://coffeevip.ru
Все трое повернулись и посмотрели в уходившее кудато мрачное пространство
http://coffeevip.ru
This is for you: {Dating for sex}
Видимо, зубки Норберта были ядовиты http://coffeevip.ru
\----

Rozpoznajesz imiona? Гарри, Огрид, Гойл, Рон, Гермиона…

Na końcu pod {Dating for sex} jest podpięty link do strony randkowej z
niepowtarzalnym identyfikatorem, więc go nie podaję.

W przeglądarce to może wyglądać inaczej, np. wszystko z wyjątkiem linii
This is for you: {Dating for sex}
jest wyświetlane bardzo małym fontem albo zupełnie niewidoczne, bo ma
zadeklarowany styl display:none czy font prawie biały na białym tle.

Losowe znaki w temacie czy operowanie stylami HTML to stary sposób
oszukiwania prostych parserów spamu, ale teraz nawet webmaile potrafią
ignorować style i pokazać śmieci na podglądzie wiadomości.

--
Andrzej P. Woźniak  uszer@pochta.onet.pl  (zamień miejscami z⇔h w adresie)