Informazioni personali

La mia foto
Vistarino, Lombardy, Italy

Cerca nel blog

Translate

Visualizzazione post con etichetta email. Mostra tutti i post
Visualizzazione post con etichetta email. Mostra tutti i post

venerdì 14 gennaio 2022

The email Files: Blocklisting, la sottile arte di farsi del male da soli

Nel post precedente ho iniziato a dissertare della gestione della posta elettronica soffermandosi sul problema annoso delle safelist (allowlist, whitelist o come preferite chiamarle).

Non sarebbe una trattazione esaustiva se non affrontassi il duale delle safelist, le blocklist.

Se ricordiamo la genesi della safelist questa è legata ai uno dei due problemi legati ai filtri di sicurezza che qui riporto per completezza:

1) il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)

The email Files

2) il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)

The email Files

Ora nel primo capitolo mi sono soffermato sul secondo punto come origine delle safelist, adesso come seconda uscita mi sembra opportuno di occuparmi del primo punto che dà origine al fenomeno delle “blocklist” .

Il problema che vogliamo indirizzare è quello del “falso negativo” che soffre di problematiche affini a quello del falso positivo di cui abbiamo parlato nel post precedente.

Certo un falso negativo può avere un effetto psicologico devastante sul ipreparato ricettore di tale oggetto:

Immaginiamoci la scena di sgomento quando un utente riceve una mail la cui sola presenza è origine di panico e terrore tremebondo. Immaginiamoci la giusta ira di coloro che a fronte dei potenti mezzi messi a disposizione dalla tecnica comunque riceve qualcosa che, nelle migliori ipotesi, non dovrebbe arrivare in casella.

Come proteggersi? possiamo fare qualcosa? Riusciamo a sopperire a tali tremebonde evenienze?

è difficile, ma per fortuna l’universo ci ha fornito uno strumento dai poteri quasi magici per affrontare il problema: le blocklist

Blocklist: cosa è

Il significato di una blocklist è quello di creare una serie di regole che bloccano le email basandosi sull’indirizzo del mittente.

Credo sia chiaro ai più che questo approccio ha senso solo se il mittente manda solo ed esclusivamente messaggi malevoli.

Questa evenienza è estremamente rara se consideriamo le email malevole: difficilmente un threat actor registra un dominio ed usa email dedicate in maniera statica.

Certo sarebbe bello se i cattivi fossero così gentili da usarci la cortesia di mandare messaggi malevoli usando email del tipo spam@evilactor.org ma, credeteci o meno, così non è.

Allora cosa finisce dentro una blocklist?

Email scappate ai filtri con basso profilo di pericolosità e media persistenza quali:

  • Email di spam
  • Email di marketing che l’utente si dimentica di aver sottoscritto

Questo tipo di messaggio è tipicamente segnalato dall’utente che, come è noto, ha poca dimestichezza o comprensione di cosa sia in realtà una email o la sua pericolosità.

Per evitare di generare errori queste blocklist andrebbero portate, esattamente come le safelist, il più vicino all’utente. In altre parole, gli utenti dovrebbero poter gestire in maniera autonoma (e solo per le mail a loro indirizzate ovviamente) questo livello di blocco.

Email scappate ai filtri con alto profilo di pericolosità ma bassissima o one shot persistenza quali

  • spoofing illegale di email o domini legittimi scappati
  • email provenienti da account legittimi ma compromessi

Purtroppo, la seconda categoria di email finisce molto raramente nelle blocklist ed il motivo sembra essere legato al fatto che riconoscere tali email non è facile nemmeno per un occhio semi esperto, figuriamoci un utente standard.

Ma anche nel caso queste fossero riconosciute è difficile che tali mittenti rimangano compromessi a lungo. I criminali tendo a cercare di aggirare blocchi elementari, ed il protocollo SMTP offre moltissime opzioni in merito.

Occorre quindi, onde evitare di bloccare email buone con quelle “sospette” o “malevole, una manutenzione attenta e continua di questo tipo di filtro.

Questo comporta in genere l’uso di quarantene (meglio se amministrative nel caso si sospettino attacchi pericolosi) che permettano eventualmente il rilascio del messaggio una volta verificato che non sia pericoloso.

Si ritorna ancora una volta al concetto, di difficile comprensione, che tutti i sistemi richiedono una opportuna manutenzione e monitoraggio.

Blocklist e Content Filtering

Lavorare con le sole email mittenti è di solito difficilmente scalabile ed efficace. In particolare al di furi di spam o newsletter, spesso ci si accorge che il tasso di errore da questo tipo di filtro è molto alto.

Per ovviare al problema, spesso alle blocklist tradizionali si aggiunge da parte di molti amministratori l’uso di content filtering più o meno avanzati.

L’uso del content filtering è più un problema di compliance che di “email security”, ma spesso questa tecnologia si presta ad un uso “improprio”.

A differenza di una blocklist che “ragiona” principalmente in termini di indirizzo o dominio di posta elettronica, e quasi per nulla sui contenuti del messaggio una blocklist che usa tecniche di content filtering fa riferimento, principalmente, a contenuti del messaggio: parole, URL, frasi…

Insomma la idea di base è:

non voglio ricevere email che contengano la parola “Cippirimerlo” quindi scrivo una regola del tipo:

se ne corpo della email o nell'oggetto appare la parola "Cippirimerlo" allora blocco la email.

Il ragionamento è evidententemente limpido e lineare. Certo occorre che “Cippirimerlo” sia usato solo in email malevoli e non in transazioni comunicative legittime (ok! ok! chi usa oggi come oggi “Cippirimerlo” se non un Hacker?).

Ma perché mai un attore malevolo dovrebbe imitare comunicazioni legittime, così rischia che la vittima non si accorga che è un attacco…

come? questo è lo scopo? aaaahhhhh

Cosa può andare storto?

Il problema delle blocklist anche in questa forma è analogo a quello delle safelist, nel senso che l’assunzione alla base è che un filtro statico possa indirizzare in maniera efficace ed efficiente un sistema dinamico come la posta elettronica.

Non voglio dire che questo non sia vero, ma solo che se fosse vero perché investire in sistemi di email security quando basta una semplice lista statica?

Diciamo che nel caso delle blocklist il problema risiede spesso nella gestione amministrativa dei sistemi di posta. Ho visto cose che voi umani … er..no ho visto però filtri estremamente complessi che utilizzano strutture che richiedono un livello di competenza elevato:

  • regular expressions
  • operatori booleani
  • orazioni e abluzioni

Purtroppo, questa profusione di esternazione tecnologica rimanda sempre al problema della staticità di questi filtri e della loro rapida obsolescenza.

Esattamente come nel caso delle safelist, infatti, le blocklist soffrono del problema che il filtro applicato ha senso solo nella finestra temporale in cui l’eventuale attacco viene erogato, dopo quel tempo il risultato è di rischiare di bloccare con il filtro email invece legittime.

é infatti impensabile, proprio come si diceva prima per le email mittente, che un attore malevolo utilizzi sempre la stessa esatta struttura di messaggio, sempre la stessa URL e via dicendo.

Anzi proprio per questi motivi la possibilità di catturare in maniera errata messaggi legittimi è estremamente alta.

Il workaround per evitare di incorrere in problemi in questo caso è di

  • modificare il filtro
  • cancellarlo
  • creare una safelist

Lascio ai più immaginare quale sia la soluzione meno indicata e vieppiù una delle più usate.

Blocklisting che fare:

cerchiamo di riassumere un po di indicazioni rapide che quindi possano aiutarci a gestire in maniera efficace le Blocklist

meno è meglio

Esiste un acronimo inglese che dovrebbe sempre guidare le nostre scelte: KISS (Keep It Simple Stupid.) e questo vale anche nella gestione di safelist e blocklist. Intendiamoci in questo caso la semplicità è legata, in primis, alla minimizzazione di queste liste in quanto più sono grandi maggiore è l’effetto negativo che possono avere sul sistema.

In particolare, gli elementi in blocklist se fanno riferimento ad email vanno considerati in funzione della loro pericolosità:

le email a bassa pericolosità (spam, marketing) possono essere bloccate, ma data la loro natura tali blocchi è opportuno che siano gestiti direttamente dall’utente finale in una sua lista personale alfine di minimizzare interferenze verso altri utenti.

le email invece di natura più pericolosa vanno gestite e monitorate con attenzione: è opportuno creare blocchi amministrativi e quarantene ma che siano monitorate costantemente per rilasciare le email legittime, i filtri di blocco dovrebbero essere rimossi non appena l’attacco si esaurisce.

Riportare al vendor del security gateway tutti gli incidenti

Per quanto possa sembrare tedioso aprire un ticket in caso di falso positivo e falso negativo è il sistema migliore per indirizzare e minimizzare certe problematiche.

E sia chiaro, l’apertura del ticket richiede anche il poter fornire un campione della mail completo di intestazioni. Senza questo la analisi diventaestremamente difficile.

Vorrei però che fosse chiaro che l’apertura di un incidente non sempre porta alla risoluzione desiderata, richiedere di categorizzare come email malevola una email che malevola non è non porta solitamente a generazione di un blocco generalizzato, contestualmente la modifica fatta da un vendor non può influire su filtri statici quali blocklist o safelist. L’apertura di un incidente, quindi, è solo una componente di un processo che deve comprendere la periodica revisione dei filtri statici quali safe e block list.

Non confidare ciecamente dei feedback degli utenti

Come per il whitelisting il blocklisting è tanto più efficace quanto i feedback degli utenti sono contestualizzati, analizzati e controllati. Il fatto che il megadirettoregalattico al cubo richieda un blocco o un safe non significa né che abbia ragione né che debba essere fatto. La sicurezza è una cosa che trascende le strutture gerarchiche proprio perché è al servizio del business.

Pianificare bene significa risparmiare tempo e risorse

Regole chiare, processi testati, analisi e verifiche cicliche servono anche nella gestione della posta elettronica.

Ragionare in anticipo su come gestire livelli di filtro associati alle varie tipologie di utenza, come gestire safe e blocklist dovrebbe essere parte integrante del disegno di un processo di gestione corretto ed efficace. Lavorare in perenne emergenza, aggiungendo e non manutenendo questi semplici aspetti rende i sistemi di posta estremamente vulnerabili.

E non esiste tecnologia che possa dare risultati se usata non correttamente.

Safelist e blocklist sono aspetti relativamente semplici e quindi sono un ottimo modo per far capire che “semplice” non vuol dire che non sia richiesta comprensione del fenomeno.

Nei prossimi post affronterò altri aspetti più complessi, ma mi sto chiedendo, quanti sanno come funziona la posta elettronica in realtà? Va a finire che negli email files mi toccherà anche cercare di spiegare almeno in maniera base come è fatto un messaggio di posta elettronica e come viene distribuito, altrimenti un sacco di cose mi sa che non si capiscono.

(se vi interessa qualcosa di specifico chiedete e vi sarà dato)

Ma del resto sono anni che sostengo che sapere qualcosa sui sistemi che usiamo non è proprio una cosa cattiva.

alla prossima

Meditate gente meditate

Epiodio precedente:

The Email Files: Safelisting email? Poi non lamentarti

Posted by at Nessun commento:
Labels: , , , , , , , ,

venerdì 10 settembre 2021

The email Files: Safelisting email? Poi non lamentarti!

Ok sotto il cappello degli email files inizierò a scrivere riflessioni semiserie (come mio solito) sugli errori ed orrori di gestione della posta elettronica.

L’idea nasce da anni di militanza nel settore, ove ho realizzato 3 cose fondamentali:

  1. la maggior parte degli utilizzatori non sa cosa sia e come funzioni la posta elettronica
  2. la maggior parte degli amministratori non sa cosa sia e come funzioni la posta elettronica
  3. i “cattivi” hanno capito benissimo come funziona la posta elettronica ed approfittano dei punti 1 e 2 per farne uno dei veicoli più efficaci ed efficienti di attacco.

Cercherò quindi in funzione di quel che mi passa per la mente, in maniera aperiodica e non regolare di scrivere quello che mi viene.

Oggi parlo di un argomento banale, il safelist o allowlist (una volta detto whitelist prima delle purghe del politically correct estremo).

Safelist: che cosa è

Iniziamo a capire di cosa parliamo.

Tutti gli strumenti di posta moderni hanno una serie di filtri più o meno evoluti che servono ad evitare che messaggi malevoli e pericolosi vengano consegnati alla mailbox dell’utente.

I motivi validissimi di questo approccio sono legati al fatto che:

  1. gli utenti difficilmente hanno gli strumenti cognitivi per distinguere cosa sia pericoloso e cosa no (altrimenti non ci sarebbe questo successo devastante dell’uso delle email come veicolo di attacco)
  2. la mail per le sue specifiche caratteristiche (vedetevi cosa sia l’SMTP, cosa significhi protocollo in chiaro, cosa significhi protocollo asicrono, cosa significhi protocollo unreliable cosa significhi avere doppie intestazioni tecniche e visibili…)

Il problema è che questi filtri non sono perfetti e si può incorrere in 2 spiacevoli estremi:

  1. il filtro non blocca qualcosa che dovrebbe bloccare (ci si riferisce a questa evenienza come falso negativo)
  2. il filtro blocca qualcosa che non andrebbe bloccato (ci si riferisce a questa evenienza come falso positivo)

Il punto 2 è quello di cui andiamo a parlare or ora.

Per evitare che i filtri non blocchino quello che non andrebbe bloccato tutti i sistemi e soprattutto tutti gli utenti invocano un rimedio che è stato identificato nel Safelosting.

Il procedimento è semplicissimo, si tratta di dire al sistema di non applicare questi filtri a specifici flussi di email. Il riconoscimento di questi flussi è di solito legato a:

uno specifico indirizzo di posta elettronica esempio: sonobuono@lasciamipassare.com

un dominio di posta elettronica come, ad esempio: @laciamipassare.com

Quindi una safelist consiste un una serie di voci: domini di posta e\o indirizzi che non vengono analizzati dai filtri di protezione del sistema

La base di questo approccio procedurale è basato dall’assunto: “non so cosa faccio, non ne capisco la tecnicalità dietro ma mi permetto di saltare, in pura incoscienza, i filtri di sicurezza confidando nella mia sopravvalutazione di essere capace di riconoscere eventuali rischi.”

Non intendo dire, con questo, che il safelisting sia una attività inutile, ma che va usata, per la sua natura di saltare i filtri di sicurezza, in maniera oculata e responsabile.

Ora non nego che le persone del marketing, sales, HR, Management assortito non abbiano la giusta preoccupazione di non avere mail importanti bloccate, il discutibile è che siano loro, privi delle competenze specifiche, a dettare vincoli che minano alla base la sicurezza di uno dei primi veicoli di attacco utilizzati dai threat actor.

Discutibile è anche il fatto che vi siano aspettative sulla posta elettronica ben lontane dalla realtà dello strumento. Aspettative legate, appunto, alla non conoscenza dello strumento stesso.

Se non si conosce uno strumento non lo si usa correttamente ne si è in grado di capire e valutare gli eventuali rischi connessi.

A fronte di questo oggettivo scenario, quindi, si decide arbitrariamente di mettere in sospensione i filtri? Non proprio la mossa più lungimirante se si guarda la cosa dal punto di vista della sicurezza informatica.

Ma allora che fare?

Falso positivo: ma di cosa si tratta davvero?

Il primo punto è capire cosa sia davvero un falso positivo:

Il falso positivo si ha quando i filtri di protezione individuano erroneamente un messaggio “buono” come “malevolo”

Raramente questa identificazione ha a che fare con la reputazione del mittente o la struttura delle intestazioni, proprio perchè stiamo parlando di falsi positivi. Questo significa che con grande probabilità la ragione del blocco è legata al contenuto del messaggio. Questo contenuto è per sua natura variabile e, a meno che non vi siano dei pattern ripetuti che incappano per qualche motivo nei filtri in essere, difficilmente provoca blocchi ripetuti e frequenti.

Esistono eccezioni a queste considerazioni, spesso newsletter o email marketing sono “malformate” (spoofing mittente, struttura HTML, componenti attivi, similitudine con campagne di attacco in corso e via dicendo)

A fronte di un evento puntuale, peròil safelisting pone una soluzione “statica” che blocca l’analisi dei contenuti di quei flussi di email in maniera permanente, questo di fatto aumenta sensibimente l’esposizione al rischio.

Procedimenti come il safelisting o il blocklisting non possono quindi non considerare le condizioni al contorno e specifiche del singolo messaggio. Il che non significa che non abbiano uso e scopo, ma che vanno gestiti in maniera coerente con la loro natura.

Safelisting: che fare

siamo onesti, in un mondo ideale con utenti preparati, consapevoli e capaci di gestire il rischio, emettitori di posta che fanno le cose per bene sapendo come si deve gestire lo strumento, gestori di mailserver e gateway che utilizzano approcci sensati e coerenti il safelisting non sarebbe quasi in uso.

Ma il mondo non è cosi, anzi.

La poca conoscenza del mondo delle email è imbarazzante, cosi come la scarsa comprensione delle esigenze di sicurezza di questo canale comunicativo quindi le liste di abilitazione ci accompagneranno per lungo lungo tempo.

Ma cosa fare allora per limitarne i danni?

Ci sono alcuni processi da mettere in piedi per gestire il safelisting che possono aiutare a diminuire la superficie di rischio.

Diminuire le voci in whitelist al minimo

questo sembra ovvio ma è il primo elemento da considerare.

Metter in whitelist tuttte le richieste provenienti dalle varie voci incoscenti dell’azienda non ha senso. Prima di safelistare qualcosa occorrerebbe verificare che non sia un evento ripetitivo. Un atteggiamento sensato consite nel sbloccare la email eventualmente bloccata, NON fare nessun safelisting ma iniziare a monitorare il comportamento di quel flusso di posta e procedere all’evetuale safelist solo in seguito a ripetuti blocchi errati.

Non mettere in whitelist interi domini

Se il safelisting espone ad un maggiore rischio, è evidente che inserire un intero dominio in whtelist significa aumentare il rischio in funzione del numerodi email generabili per quel dominio. Si deve considerare quindi che un dominio aperto significa tanti potenziali vettori di rischio.

Non mettere MAI in safelist domini di email pubbliche

Lo so che nessuno lo farebbe mai, ma allora perchè mi capita di vedere in queste liste robe tipo “gmail.com”, “yahoo.com”, “libero.it” e via dicendo?

Le email consumer free sono un veicolo ideale per sviluppare in maniera semplici attacchi anche sofisticati, il solo richiedere di “liberare” un tale dominio è dimostrazione più che evidente che il richiedente non ha idea di cosa sia la posta elettronica ne come si usi. Non importa se è il figlio del direttore HR, il cognato del vicepresidente del marketing, o il cane dell’amministratore delegato. Semplicemente queste richieste devono essere negate fermamente senza se, senza ma e senza forse. In alternativa ci si fa dare una bella mail che impone il cambio da poter mostrare al soggetto al primo attacco ransomware dicendo: “te lo avevo detto ma tu…” 🙂

Se proprio devi fare safelist almeno limita i danni

Uno dei primi concetti che impari quando si parla di sicurezza è che minore è la superficie di esposizione minore il rischio. Essendo il safelisting una procedura che espone a rischio gli utenti è buona norma spostarla il più vicino al richiedente in maniera da ridurre la esposizione per gli altri utenti.

Mi spego: abilitare un mittente a bypassare i filtri per l’intero numero di utenti della azienda non ha molto senso se la richiesta proviene da una risorsa specifica. Molti sistemi oggigiorno consentono di creare policy specifiche per singoli utenti e gruppi di utenti ristretti. Una scelta opportuna è operare safelisting a questi livelli piuttosto che per tutta la organizzazione.

Ha senso spostare il safelisting quindi nella struttura più vicina al richiedente, utente o gruppo di utenti che sia.

Sopratutto in caso di gestioni estremamente statiche del safelist questo consente di controllare un minimo la superficie di rischio.

Un safelist NON è per sempre

Diciamocelo chiaro, non esistono motivi per tenere una lista che permetta l’ingresso di “la qualunque” per sempre in maniera immutabile. Già le considerazioni precedenti dovrebbero aver aperto un minimo di consapevolezza sul fatto che il safelisting non è una panacea dal punto di vista della sicurezza.

Per evitare che queste liste crescano a dismisura e calcifichino email e domini in maniera perenne è opportuno periodicamente procedere ad una revisione delle voci della lista.

Questo significa che dopo un certo periodo di tempo sarebbe opportuno eliminare le voci (in modalità FIFO, First In First Out). Difficilmente gli errori, se la piattaforma di filtering è gestita correttamente, si ripeteranno.

Sapere come usare i propri strumenti non è una brutta cosa.

Mi si conceda una ultima battuta.

Come tutti gli strumenti anche la posta elettronica ha le sue specificità che andrebbero conosciute da chiunque la utilizzi, la pessima idea di sapere come usarla e non avere bisogno di formazione è tanto stupida quanto, purtroppo, radicata.

E non si pensi che la cosa sia limitata ai soli utenti o al magnifico management, spesso anche chi si occupa di IT e persino di posta non ha le competenze corrette per gestire questo strumento al meglio.

Ne sia un esempio questa domanda:

quanti sanno cosa siano

  • SPF
  • DKIM
  • DMARC

e quali siano vantaggi e debolezze di ogniuno di questi protocolli di autenticazione della posta?

Antonio "Puchi" Ieranò
Meditate gente Meditate
Posted by at Nessun commento:
Labels: , , , , , ,

martedì 26 marzo 2013

FW SPAM: Dear friend

As usual I like to post some daily spam as reference, but of course you can always try to answer and, if you got all those million, would you please give me some? 🙂

—–Original Message—–
From: win Tep [mailto:tepsereya@gmail.com]
Sent: Tuesday 19 March 2013 02:48
To: nomestes.ingando@gmail.com
Subject: Dear friend

 

Dear friend

 

Please permit me to make your acquaintance in so informal a manner. This is necessitated by my urgent need to reach you. This request may seem strange and unsolicited but I will crave your indulgence and pray that you view it seriously.

 

I want you to partner with me in getting back the money left behind in a fixed deposit account in our bank by a citizen of your country. If this will endanger your position and reputation, I would not have contacted you. This is safe and beneficial. I am presently the Branch manager of our bank,here is South East Asia, please do not expose this transaction for any reason, I will give you more information of myself, our bank and the transaction itself once you write again.

 

I wait to hear from you,

 

Regards,

TEP SEREYA

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , ,

FW SPAM: A BUSINESS PROPOSAL LETTER

Guys THIS is something I am really more comfortable, I mean this is something I know how to handle, ol’fashion email scam.

I recently experienced how it feel to be really scammed and it make you feel really dumb, believe me. J

 

 

From: mrwahid2 [mailto:mrwahid2@yeah.net]
Sent: Tuesday 26 March 2013 18:28
To: undisclosed-recipients:
Subject: A BUSINESS PROPOSAL LETTER

Dear Friend.

My name is Mr Traore Wahid. I got your contact email address from the internet Business directory and decided to contact you for this transaction that is based on trust. I need your urgent assistance in transferring the sum $19.300.000.00(Nineteen million three hundred thousand dollars) to your account. The transfer is risk free on both sides hence you are going to follow my instruction till the fund is transferred to your account.

Having gone through a methodical search, I decided to contact you hoping that you will find this proposal interesting. Please on your confirmation of this message and on indicating your interest, I will furnish you with more information as i get our reply.

If You Accept This Offer To Work With Me, And You Find This Proposal Suitable For You Do Furnish Me With The Following Information.

Your Full Name……………….
Your Country…………….
Your Private Telephone……………
Your Age and Sex………………..
Your Occupation……………

I Will Appreciate It Very Much, If This Proposal Is Acceptable By You, Do Not Make Undue Advantage Of The Trust I Have Bestowed On You, And I Assure You We Can Achieve It Successfully.You can reply me on my yahoo address.(traorewahid5).

Respectfully
Mr.Traore Wahid,
Bill and Exchange Manager

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , , , , ,

mercoledì 11 aprile 2012

Daily Spam

here we are on a new issue of our daily spam. I keep saying that the most amusing part of reading the amount of emails I receive is spam, and I want to share once again with you the craziest one I got. remember those are spam email so please keep you mind open and your mailbox clean, lol and do not answer to them Winking smile

(but I admit that I would like to answer to some Nigerian scams, just to see what and how the approach me, but I would need some protection…tv? police? my mom?)

 

what can I say,I find it amusing and amazing when I receive something like this

From:
“Stevie Hutchinson” <plungerp1@anbid.com.br>

Envelope Recipient:
bit-bucket@printers.ironport.com, anierano@cisco.com

To:
<alerts@ironport.com>, <dnscheck@ironport.com>, <bwoodward@ironport.com>, <aierano@ironport.com>

Subject:
Re: End of Aug. Statement Required[IronPort SPAM]

Date:
10 Apr 2012 00:30 (GMT -07:00)

Good day, as reqeusted I give you inovices issued to you per february (Internet Explorer format).RegardsDonn Gay

 

when I would have requested something like that? I do not recall, Smile but of course could be my memory. meanwhile why someone called Steve from brazil send a mail and then sign as Donn Gay?  ok ok I’, too suspicious Devil

but now I have another doubt: how many profile exists that I don’t know about? just because is long time I receive mails like this one:

From:
nasr anibe <nasr.anibe@yahoo.it>

Envelope Recipient:
anierano@cisco.com

To:
“nasr.anibe@yahoo.it” <nasr.anibe@yahoo.it>

Subject:
www.yatedo.com

Date:
10 Apr 2012 23:25 (GMT -07:00)

Hello, my name is Nasr Anibe , is my pleasure to communicate with you
after seeing your profile here . it will be better if you can confirm
this message by writing me back via my email so that i will detail you
my purpose of writing you . i have something very important to share
with you . i will be waiting to hear from you. have a blessed day.

and I did not know to be so cool, lol Hot smile. well at least yatedo is a real site…

 

but wait a moment, after a light disappointment because iìm still waiting for the money I found in the last daily spam issue I have had another great opportunity, look at this:

 

From:
UKYAHOOMAILLOTTERY <merssss@hotmail.co.za>

Envelope Recipient:
anierano@cisco.com

To:
undisclosed recipients: ;

Subject:
PLEASE OPEN ATTACH YOUR EMAIL HAS(£1,000,000.00) KINDLY VIEW THE ATTACH FILE CONTACT DR FRANK BRYAN

Date:
09 Apr 2012 23:39 (GMT -07:00)

[attachment: “NOTIFICATION LETTER.doc”]

I won nothing less than £1,000,000.00 Party smile let’s partyyyyyyy

just why ukyahoomaillottery comes form an hotmail account? o well probably they work together Angel. just again I do not remember to ever played this lottery, but well, probbaly is my memory that has problems.

From:
Michele Ghigliotti <micheleghigliotti@hotmail.com>

Envelope Recipient:
anierano@cisco.com

To:
<enricoc71@gmail.com>, <luca.bellucci@autonomy.com>, <jumogiz@gmail.com>, <spupuz@gmail.com>, <cornalba70@hotmail.com>, <fusi.elena@gmail.com>, <stefano.crivelli@gmail.com>, <mv.franzini@gmail.com>, <aierano@ironport.com>

Subject:

Date:
09 Apr 2012 16:13 (GMT -07:00)

ok no the question is what the hell is this?  I mean man come on at least put a subject or a reason to click this link……….but I am curious you think I should click it? …..

about problems in understanding:

From:
<aierano@ironport.com>

Envelope Recipient:
anierano@cisco.com

To:
<aierano@ironport.com>

Subject:
U kunt in uw vrije tijd niet alleen geld verdienen, maar ook mensen in uw stad helpen

Date:
09 Apr 2012 12:59 (GMT -07:00)

Wij bieden u de mogelijkheid als een ver verwijderd assistent te werken.
Dit werk neemt 1-2 uur per week in beslag en u hoeft helemaal niets te investeren.
Het werk bestaat uit het verwerken van inkomende aanvragen van de klanten van uw stad.
Dit werk is niet moeilijker dan het betalen van gemeentelijke voorzieningen.
Voor elke aanvraag verkrijgt u de som van 90 tot 350 euro groot.
U krijgt de betaling elke vrijdag!
Indien gewenst kunt u het aantal aanvragen geleidelijk verhogen.
Wij garanderen het werk voor alle gegadigden. Maar het aantal werkplaatsen is beperkt!
Daarom moet u uw aanvraag nu meteen gaan sturen.
U begint dan vanaf de volgende week geld te verdienen.
Gelieve in uw aanvraag de volgende gegevens te vermelden:
Uw naam:
Uw e-mail:
Woonplaats:
Stuur uw aanvraag naar mijn e-mail: Mclaughlin@tophollandjob.com,en ik zal u persoonlijk binnen 2 werkdagen antwoorden.
Met hoogachting,
Dokter Mclaughlin

 

 

hey I have no idea what is this about…….. can you translate it to me?Disappointed smile

From:
“Mr. Marais”<hendrick_marais@yahoo.com.hk>

Envelope Recipient:
anierano@cisco.com

To:
undisclosed-recipients:;

Subject:
[MODIFIED FOR PROTECTION] Your Urgent Respond from Malaysia !![IronPort SPAM] [IronPort SPAM]

Date:
09 Apr 2012 09:04 (GMT -07:00)

Dear friend,
I’m Hendrick Marais, 52yrs, branch manager of one of the international Banks here in Malaysia. I have been the personal Fund Manager to the late Libyan President Muammar Gaddafi for many years. Total sum of Ten Million United State Dollars (US$10,000,000.00) was deposited under Escrow Account on behalf of the late president under a SECRET CODE DEPOSIT where none of his personal information was used for the deposit. This is known between two of us before his death in 2011.
And not even our bank head office has information about the owner of the fund. Now that President Muammar Gaddafi is DEAD, I can not be directly have access to this fund as an officer in our bank. So my aim of contacting you is to seek for your partnership to team up with me and receive this fund with your bank account by claiming the title holder/depositor and get 35% of the total fund as commission for your partnership.
There is no risk attached and the funds in question can never be traced. You may wish to read more about late Muammar Gaddafi’s death on the below link to confirm.
http://www.guardian.co.uk%2Fworld%2F2011%2Foct%2F20%2Fmuammar-gaddafi-dies-city-birth
Kindly get back to me urgently so as to furnish you further details. Also, you can call me on +60166991309 for voice conversation
Regards,
Mr. Marais.
Tel: +60166991309.
Email: hendrick_marais1@yahoo.com.hk

yappy again “money money money” Geez I attract money as a magnet Smile look below to understand it, and the fact is that all this people trust me even if I have no idea on who they are Smile. just a suggestion Roseline, next time add a photo of yourself, I mean I’m sure you’re single (you wrote it) and probably hot, but a pic would have made memove more quickly, don’t you think?

From:
Roseline <Nzete@jinbo.net>

Envelope Recipient:
anierano@cisco.com

To:
antonio.ierano@ironport.com

Subject:
[MODIFIED FOR PROTECTION] Hello from, Miss. ROSELINE.

Date:
09 Apr 2012 09:00 (GMT -07:00)

Hello my dearMy name is Miss ROSELINE NZETE. I am single, working in a bank. I need a very Good relationship with you and open minded so that we can work together as one family. I want you to go through this message and get back to me as soon as possible so that, we can discuss more on how it is going to be executed without any problem.

I feel quite safe dealing with you in this business proposition though, this medium (Internet) has been greatly abused; I chooses to reach you through it because it still remains the fastest, easiest, surest and most secured medium of communication. I know that this mail will come to you as a surprise as we have never met before. With due respect and regard; I have decided to contact you on a business transaction that will be very beneficial to both of us at the end of the transaction.

During my investigation and auditing in this Bank, in my department I came across a very huge sum of money belonging to one of our deceased foreign customer. He died along with his entire family members in a plane crash here in Africa as they where traveling for Holidays. I want to let you know that, this fund has been dormant in his account with this bank without any claim of the fund in our Custody either from his family or relation before my discovery to this development. Although personally, it happened that I am his personal account adviser.

I keep this information secret to my self to enable the whole plans and idea be Profitable and successful during the time of execution, the said amount is Nine million five hundred thousand United States Dollars ( $9.5 Million USD ), as it may interest you to know, I contacted you to be my partner and person to be reliable and capable to champion a business of such magnitude without any problem.

Meanwhile all the arrangement to put claim over this fund as the next of kin to the deceased, get the required approval and transfer this money to a foreign account has been put in Place and directives and needed information will be relayed to you as soon as you indicate your interest and willingness to assist me and also benefit your self to this great business opportunity. In fact I could have done this deal alone but because of my position in this country as a civil servant and we are not allowed to operate a foreign account and would eventually raise eye brow on my side during the time of transfer because I work in this bank.

I will not fail to inform you that this transaction is 100% risk free, on smooth conclusion of this transaction, you will be entitled to 30% of the total sum as gratification, while 5% will be set aside as a compensation after the transaction has been completed, for the taken care of expenses that was arise during the time of transfer, while 65% will be for me.

Please you have been advised to keep the business to the highest ” Top Secret ” as I am still in service with the bank and intend to retire from my work with the bank and relocate to your place after we concluded this deal with our bank and the money has been into your account.

I will be monitoring the whole situation here in this bank Until you confirm the money in your account, and ask me to come down to your country for subsequent sharing of the fund according to percentages previously indicated and further Investment, either in your country or any country you advice me to invest in and all other necessary vital information will be send to you as soon as I hear from you.

Please my dear, with my position as his personal account adviser when he was still alive, both of us can make this fortune come to us, only if you will follow up with every of my guide lines and direction and do what I ask you to do. I will not fail to bring to your notice that, this business is 100% hitch free on both sides and don ‘ t ever have any atom of negative impact. You should not entertain any Fear as all modalities for the smooth and easy transfer of these funds has been finalized before I contacted you. This transaction will be completed within 10 bank working Day immediately you applied to the Bank as relation to the deceased Customer.

I am given you every assurance today that, the source of this money is very legitimate and it dose not have anything to do with money laundering or what so ever of such. I want you to get back to me as soon as possible and also include your personal phone / mobile and fax numbers for easy communication. It is very important that, you call me as soon as you go through this mail for more directive and guide lines in this transaction.

What I want to inform you is that, this business is 100% real, sure, legal and legitimate. The business cannot affect your and your family. It cannot affect your personality, it cannot affect your work or any kind of activities you are doing any where in the world but, it is going to bring a very big joy and luck in both of our family as soon as the money transfer into your account.

Your response to me after reading this message, will determine if I will go ahead with you in this business or not. So, I want you to get back to me and, indicate your full interest and your capability of handling this business with me so that, I will know what next to do and tell you for us to move ahead without any delay.

And please, I want you to tell me more about you. Your age and occupation so that, I will know about the person I am going to hand over this business to you because, the business will be handed over to you to conclude it with our bank management hence, I cannot make myself known or available to our bank in this business because of my own security and safety of this money.

Meanwhile, if you have any question to ask me about me, the deposit, the late depositor or any other information you wanted to know, you are free to ask me and, I will give you the answer to your full understandings.

Here is my telephone number where you can reach me with : +22549870528

Please, I want you to reply me to this email account id at : roselinenzete555@zoho.com

Thanks for your co-operation and understanding.

Best regards.

MISS. ROSELINE.

 

so since I have a lot of money here I’m absolutely not in need of a job, so may be you could be interested in this:

From:
“Tejas Cobert Uralita”<noreply@tejascobert.com>

Envelope Recipient:
anierano@cisco.com

To:

Subject:
Job Openings – Hiring Now

Date:
09 Apr 2012 08:31 (GMT -07:00)

If you have access to a computer, and have up to three hours spare time per-week. you can get paid, would you like to work part or full time online, and get paid weekly? If yes,then please read carefully.
_____________________________________________________________________
ABOUT US
______________________________________________________________________
Uralita is a Spanish multinational company that deals in building materials.With over 100 years of experience in the field, it has occupied a leading position in the markets and sectors in which it operates for several decades now.
Uralita’s strategic business areas cover items such as Insulation materials, Plasters, Tiles and Piping. Indeed, its manufacturing and marketing of these products has made it the main reference point in the Spanish and Portuguese building sectors, and it is the third largest manufacturer of insulation materials in Europe and USA.
______________________________________________________________________
JOB POSITION
_______________________________________________________________________
We are currently seeking part or full time employees for our ever-growing accounts receivable department. Through extensive demographic research, we have discovered a wealth of untapped human resources that, for one reason or another, need the freedom to work from home. If this sounds like you, please read on, and consider becoming part of our company family.
as part of our ongoing Multi Level Marketing Network,we seek capable individuals to work for us as our representative.You can easily make $700-$2000 or more in a week by working for us as Sub-contractor in your geographical location, you will be in charge of collecting payments from our U.S.A customers.
Does it sounds like your dream job? Well, it certainly for 670+current members who are making $700- $2,000 weekly online with this system.
Note that no form of investment of is needed from you and this job will take only 1-3 hours of your time per week.
______________________________________________________________________
JOB RESPONSIBILITY
_______________________________________________________________________
The position of Accounts Receivable officer entails the following duties: coordinate payments from our clients, receive payments which come in form of wire transfers, process payments at your local bank, and forward 90% of funds received to the proper branch office, as instructed. The remaining 10% is your wage. Since this position is need-based, you will have plenty of free time while enjoying a good income.
___________________________________________________________
REMUNERATION
___________________________________________________________
Every assignment in form of payment received from clients, you’re entitled to 10% which excludes the cost of processing western union to any regional office accountant
________________________________________________________________________
INTERESTED APPLICANTS (HOW TO APPLY)
Interested applicants should simply reply this e-mail or send an e-mail to javier_uralita@contractor.net
Once received, one of our Human Resource Managers can contact you through
Email, with an approval letter if the management decides you are a successful
candidate. Please specify the best way to contact you in your reply email.
NOTE: This offer is not for U.S.A citizens.

 

do you think could ever be a money mule recruitment? naaah those things cold not happen to me Smile have to be real.

hey can you also explain this to me? I was a young lady? Rolling on the floor laughing come on……

From:
beaky ibb <beaky_ibb@indiatimes.com>

Envelope Recipient:
anierano@cisco.com

To:
undisclosed-recipients:;

Subject:
hi

Date:
08 Apr 2012 13:42 (GMT -07:00)

My name is a blessing
I was a young lady with an open heart,
I enjoy my life, but life is not complete if you do not have one to share it
Hope to hear from you
Your blessings

and just to go on on this look here, I mean I don’t know you and you want my photo? dressed or naked? lol Nyah-Nyah

From:
Jessica Alex <jessicaalexluv101@yahoo.co.uk>

To:
undisclosed-recipients:;

Subject:
Greetings

Date:
07 Apr 2012 03:48 (GMT -07:00)


*Greetings,
I’m contacting you for friendship, having the same desire kindly reply me
back at jessicaalexluv101@yahoo.co.uk ‘ with your photo and a little bit of
your self. hope to read from you soon. From Jessica.
Bye***

but at the end I like more talking about business, so here you are another offer I cannot refuse Smile

From:
traore sekou <traore.seko115@msn.com>

Envelope Recipient:
anierano@cisco.com

To:
“.” <.>

Subject:

Date:
07 Apr 2012 00:18 (GMT -07:00)

Dear Friend,
Good day and sorry for the way this email came to you as I’m in desperate need of your help to transfer the sum of $20.5 Million Dollars belonging to an aid to Colonel Gadahafi whose name I cannot mention for security reasons who also died in the fierce fighting in Sirte Libya and before his death I was his personal accounts Manager here in Burkina Faso where He secretly lodged this money without anyone else knowledge except me and the Bank.
I want you to apply to my Bank as the next of kin hence I can provide you with all the informations that can lead to the release of the money into your account as long as you can bear the cost of procuring certain legal certificates that will be needed to change the fund in your name which must be presented to the Bank before the fund is released to you as the nearest person and in confrmation of your interest, I will like you to furnish me with the below informations as 60% of the fund will be for me and 40% for you :
Your Name………………….
Your occupation………………..
Your Country of origin…………..
Your age and contact number……….
I shall furnish you with the details of the deal once I receive the above requirements and please feel free to delete the message if you are not interested and do keep the secret for me so that I can look for another reliable person.
Thanks in Anticipation.
Traore Sekou.

 

last but not least, have you heard about facebook spam? no?

well may be you can explain me this:

From:
Facebook <notification+62979H4P2IAN@facebookmail.com>

Envelope Recipient:
bit-bucket@printers.ironport.com, anierano@cisco.com

To:
cpappas@ironport.com

Subject:
KAM SWANSON wants to be friends on Facebook.

Date:
05 Apr 2012 06:42 (GMT -07:00)

Facebook facebook KAM SWANSON wants to be friends with you on Facebook. KAM SWANSON Confirm Friend Request See All Requests This message was sent to cpappas@ironport.com. If you don’t want to receive these emails from Facebook in the future or have your email address used for friend suggestions, please click: unsubscribe. Facebook, Inc. Attention: Department 415 P.O Box 10005 Palo Alto CA 94303

And I’m not even a facebook user Smile

ah just as an hello another request to give me money, guys I’m buy so I’ll let you have this millions all for you Smile

From:
“KIM SIMON”<kimsimonnn@yahoo.com>

Envelope Recipient:
anierano@cisco.com

To:

Subject:
MY PROPOSAL – KIM SIMON [IronPort SPAM]

Date:
05 Apr 2012 04:30 (GMT -07:00)

Dear Friend;
I must begin by thanking you so much for the time and opportunity given to me to express my personal issues. I am 23yrs of age and was brought up in London by my late mother who was married to my father Dr. Lucas Simon even though I have never known him but I hear from relations that he is a good man and now residing in Russia.
My mother passed away on the 28th of January 2012 after a brief illness. The death of my mother (Late Dr. Hanan Fiddah Simon) has brought about so many setbacks in my life with my late mothers relations not helping matters not to mention the government that is restricting me from having access to my mother’s wealth. Before her death she deposited USD$7,500,000.00 (Seven Million Five Hundred Thousand United States Dollars) with a private blue chip company called The Clearing House authorizing them to release the money to me when she has passed on and I have come of age to handle the money myself. Without wasting much of your time, I need you to stand in for me as my friend and investor to receive this money before my uncles and aunties take all of it away from me leaving me with nothing. I do not intend to stay in this country any longer because I am already fed up with the environment and the way things are going at the moment I can sacrifice coming over to your country to be with you. I have discussed this
I need to hear from you as soon as possible if you are going to stand on my behalf and I promise to give back to you 40% of the money for your kind gestures. I do not need any financial assistance from you but your honest understanding and positive mind until the money gets to you. My email address is stated below so you can write me as soon as you get this message letting me have the below information’s as my attorney has specified for record purposes; I guarantee you that your information will be safe with me.
First Name………….
Surname…………….
Address……………
City……………………
State/Province…….
Country………………
Telephone No……..
Occupation ……….
Date of Birth (date/m/yr)
Copy of International Passport
Thank you and God bless
Sincerely,
Kim Simon

cheers

Antonio Ierano

EMEAR SECURITY CONSULTING SYSTEMS ENGINEER

EMEAR Security Architecture Team

anierano@cisco.com

Phone: +39 039 629 5092

Mobile: +39 331 628 9653

Check my security blogs: AITechupdate, News From the world

Follow me on Twitter: @antonioierano

Check my profile on Linkedin or add me here

Related articles
Posted by at Nessun commento:
Labels: , , , , , , , ,
Iscriviti a: Post (Atom)