mboost-dp1

Falsk mail fra skat


Gå til bund
Gravatar #1 - holmen
3. dec. 2012 13:30
Så er det snart jul og hvem kunne ikke bruge lidt ekstra kontanter?

Efter sidste års regnskab skyldte jeg skat 8800 kr, men fik en mail i dag hvori der står:
Dato: 03 december 2012

Meddelelse om tilbagebetaling af skat for år 2011

Kære skatteyder,

Jeg sender denne e-mail for at annoncere: Efter den sidste årlige beregning af din finanspolitiske aktivitet, vi har fastslået, at du er berettiget til at modtage en tilbagebetaling af skat af:

DKK1,134.56



At modtage din refusion, kan du udfylde og indsende den afgiftsgodtgørelse form.

Klik her for at få adgang til din refundere




Vores hovedkontor adresse kan findes på vores hjemmeside på www.skat.dk


"Klik her" linker til: mercenaries.ru/wait.html

Screenshot af mail:

http://oi48.tinypic.com/r0td0n.jpg
Gravatar #2 - kasperd
3. dec. 2012 13:52
Har du kigget på headerne for at finde ud af hvor mailen er sendt fra? Min virksomhed fik lovning på 20000kr tilbage i skat for sidste år i en email sendt fra Israel.
Gravatar #3 - holmen
3. dec. 2012 14:15
Fra: SKAT.dk (ID1872637(at)helpingme.net)
Gravatar #4 - kasperd
3. dec. 2012 14:29
holmen (3) skrev:
Fra: SKAT.dk (ID1872637(at)helpingme.net)
Sådan ser mail headers ikke ud. Her er et eksempel på hvordan en relevant header kunne se ud
Received: from daimon.dyndns.dk (daimon.dyndns.dk [127.0.0.1])
by daimon.dyndns.dk (8.13.8/8.13.8) with ESMTP id qB3FD3Ip010190
for <[email protected]>; Mon, 3 Dec 2012 23:13:05 +0800
Bortset fra at IP adressen selvfølgelig vil være en anden. Som regel er der flere received headers, og kun den øverste er relevant.
Gravatar #5 - Chewy
3. dec. 2012 15:07
[/quote]1,134.56 [/quote]

Wow, 1 krone og 134 56/100 øre...?
Gravatar #6 - milandt
3. dec. 2012 15:21
Din din finanspolitiske aktivitet? Ja, det kan jeg da godt forstå SKAT har overset i deres første beregning.
Gravatar #7 - holmen
3. dec. 2012 16:55
#4, nej, så har jeg ikke kigget på headeren. Ved ikke hvordan jeg finder den info du spørger om.

Det jeg pastede ovenfor, var den adresse der stod når jeg expandede der hvor der stod fra: skat.
Gravatar #8 - kasperd
3. dec. 2012 23:24
holmen (7) skrev:
Ved ikke hvordan jeg finder den info du spørger om.
Det står i starten af emailen, men er skjult som default. Hvordan man får det vist afhænger af mail klienten.
Gravatar #9 - PHP-Ekspert Thoroughbreed
4. dec. 2012 07:12
Headers skrev:

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from mx-h.one.com (mx-h.one.com [91.198.169.55])
by mail48.local (Postfix) with ESMTP id 82003C02D6AEC
for <[email protected]>; Mon, 3 Dec 2012 12:57:00 +0100 (CET)
X-Virus-Scanned: by one.com
X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char E5 hex):
Subject: ...elelse om tilbagebetaling af skat for \345r 2011.
X-Spam-Flag: NO
X-Spam-Score: 2.843
X-Spam-Level: **
X-Spam-Status: No, score=2.843 tagged_above=0 required=5
tests=[HTML_MESSAGE=0.001, MIME_HEADER_CTYPE_ONLY=1.996,
MIME_HTML_ONLY=1.105, RP_MATCHES_RCVD=-0.368, SPF_PASS=-0.001,
SUBJECT_NEEDS_ENCODING=0.1, T_KHOP_FOREIGN_CLICK=0.01]
autolearn=disabled
Received-SPF: pass (mx-h: domain of [email protected] designates 85.17.200.130 as permitted sender)
X-Greylist: from auto-whitelisted by SQLgrey-1.8.0-rc2
Received: from stormrider.retry.org (stormrider.retry.org [85.17.200.130])
by mx-h.one.com (Postfix) with ESMTP id 4AD9D70D3B
for <[email protected]>; Mon, 3 Dec 2012 11:56:55 +0000 (UTC)
Received: from root by stormrider.retry.org with local (Exim 4.63)
(envelope-from <[email protected]>)
id 1TfUdr-0003k4-3p
for [email protected]; Mon, 03 Dec 2012 12:56:55 +0100
To: [email protected]
Subject: SKAT - Meddelelse om tilbagebetaling af skat for år 2011.
From: SKAT <[email protected]>
Content-Type: text/html
Message-Id: <[email protected]>
Date: Mon, 03 Dec 2012 12:56:55 +0100
Gravatar #10 - holmen
4. dec. 2012 07:57
x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensydyekesGC2M=
Authentication-Results: hotmail.com; spf=none (sender IP is 68.99.120.44) [email protected]; dkim=none header.d=helpingme.net; x-hmca=none
X-SID-PRA: [email protected]
X-AUTH-Result: NONE
X-SID-Result: NONE
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0z
X-Message-Info: aKlYzGSc+LmrJ3Ojfb7kFLv1/AtYQ2xNG2jG8wurLfIonWV80MOYlO38W59rcAAhw4Y3afpKd/hbz502F0xGpXVKuZyQ2rCpFev2j0gdzv2MgoHmNPuZS0eCJI7XZeEPgaVwU+Zd2a3szG3KyzrZap8t6VL4Y9iH
Received: from dukecmmtar03.coxmail.com ([68.99.120.44]) by COL0-MC2-F32.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Mon, 3 Dec 2012 02:45:08 -0800
Received: from dukecmimpo02.coxmail.com ([68.99.120.135])
by dukecmmtar03.coxmail.com
(InterMail vM.8.01.05.06 201-2260-151-112-20120208) with ESMTP
id <20121203104508.MVIP1249.dukecmmtar03.coxmail.com@dukecmimpo02.coxmail.com>
for <minmail@hotmail.com>; Mon, 3 Dec 2012 05:45:08 -0500
Received: from CrownServer1 ([70.167.66.177])
by dukecmimpo02.coxmail.com with bizsmtp
id Wyg01k00d3pUDAW01yl70C; Mon, 03 Dec 2012 05:45:08 -0500
From: "SKAT.dk" <[email protected]>
Subject: Meddelelse om tilbagebetaling
To: minmail@hotmail.com
Content-Type: multipart/alternative; boundary="8p2M3f915y290dn6KlPkW8YPjJB0W=_Y6K0"
MIME-Version: 1.0
Date: Mon, 3 Dec 2012 05:44:38 -0500
Message-Id: <20121203104508.MVIP1249.dukecmmtar03.coxmail.com@dukecmimpo02.coxmail.com>
Return-Path: [email protected]
X-OriginalArrivalTime: 03 Dec 2012 10:45:08.0589 (UTC) FILETIME=[434F31D0:01CDD143]

This is a multi-part message in MIME format
Gravatar #11 - kasperd
4. dec. 2012 16:29
Thoroughbreed (9) skrev:
Received: from mx-h.one.com (mx-h.one.com [91.198.169.55])
by mail48.local (Postfix) with ESMTP id 82003C02D6AEC
for <[email protected]>; Mon, 3 Dec 2012 12:57:00 +0100 (CET)
Denne header er så vidt jeg kan se fordi mailen blev sendt mellem to forskellige mail servere indenfor din mail udbyder (one.com).

Thoroughbreed (9) skrev:
Received: from stormrider.retry.org (stormrider.retry.org [85.17.200.130])
by mx-h.one.com (Postfix) with ESMTP id 4AD9D70D3B
for <[email protected]>; Mon, 3 Dec 2012 11:56:55 +0000 (UTC)
Dette fortæller hvor mailen kom ind i netværket hos one.com. Afsenderen er åbenbart i Holland. Received headers før denne kan man ikke nødvendigvis stole på.

Thoroughbreed (9) skrev:
Received: from root by stormrider.retry.org with local (Exim 4.63)
(envelope-from <[email protected]>)
id 1TfUdr-0003k4-3p
for [email protected]; Mon, 03 Dec 2012 12:56:55 +0100
Denne Received header er måske autentisk og måske ikke. Såfremt den er autentisk betyder det at afsenderen har opnået root på maskinen. Men den kunne nemt være forfalsket uden root.

holmen (10) skrev:
Received: from dukecmmtar03.coxmail.com ([68.99.120.44]) by COL0-MC2-F32.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Mon, 3 Dec 2012 02:45:08 -0800
Denne mail kommer fra coxmail som er baseret i USA.

holmen (10) skrev:
Received: from dukecmimpo02.coxmail.com ([68.99.120.135])
by dukecmmtar03.coxmail.com
(InterMail vM.8.01.05.06 201-2260-151-112-20120208) with ESMTP
id <20121203104508.MVIP1249.dukecmmtar03.coxmail.com@dukecmimpo02.coxmail.com>
for <minmail@hotmail.com>; Mon, 3 Dec 2012 05:45:08 -0500
Tilsyneladende sendt mellem to forskellige servere hos coxmail før den forlod deres netværk. Jeg kan ikke få øje på en afsenderadresse noget sted i headerne, så jeg kan ikke vide om afsenderen er coxmail bruger, eller om nogen har fundet en måde at relaye mails gennem coxmail.

holmen (10) skrev:
Received: from CrownServer1 ([70.167.66.177])
by dukecmimpo02.coxmail.com with bizsmtp
id Wyg01k00d3pUDAW01yl70C; Mon, 03 Dec 2012 05:45:08 -0500
Tilsyneladende er denne email sendt fra en kunde hos Cox gennem Cox egne mailservere. Mit gæt er en kompromitteret computer hos en tilfældig kunde. Og Cox mailservere accepterer alle emails fra deres egne kunder.

Åbenbart sendes disse spam mails ud gennem mange forskellige kanaler. Spørgsmålet er hvor forskellige metoder de har været nødt til at bruge.
Gravatar #12 - jeldtoft
5. dec. 2012 00:27
Plejer altid melde disse phishing sites på http://www.google.com/safebrowsing/report_phish/
Gravatar #13 - kasperd
5. dec. 2012 22:08
Her er en mere fra Bulgarien. Men de markeres jo automatisk som både spam og phishing af gmail. Er der nogen spam filtre som ikke markerer dem som spam? Og er der personer som er naive nok til at falde for dem? Eller spilder spammerne deres tid ved at sende noget så åbenlyst forfalsket?

Delivered-To: [email protected]
Received: by 10.43.68.146 with SMTP id xy18csp358488icb;
Wed, 5 Dec 2012 13:30:40 -0800 (PST)
Received: by 10.216.203.80 with SMTP id e58mr6479372weo.23.1354743039075;
Wed, 05 Dec 2012 13:30:39 -0800 (PST)
Return-Path: <[email protected]>
Received: from mail.get.bg (mail.get.bg. [78.128.6.68])
by mx.google.com with ESMTP id a6si7493141wie.36.2012.12.05.13.30.38;
Wed, 05 Dec 2012 13:30:39 -0800 (PST)
Received-SPF: neutral (google.com: 78.128.6.68 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=78.128.6.68;
Authentication-Results: mx.google.com; spf=neutral (google.com: 78.128.6.68 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Message-Id: <50bfbcff.0613b40a.6aa8.ffffef39SMTPIN_ADDED_MISSING@mx.google.com>
Received: from User (unknown [93.174.95.123])
by mail.get.bg (Postfix) with ESMTPA id 3D7BE45133;
Wed,  5 Dec 2012 23:30:25 +0200 (EET)
X-DKIM: OpenDKIM Filter v2.1.3 mail.get.bg 3D7BE45133
Reply-To: <[email protected]>
From: "SKAT Online Institut"<[email protected]>
Subject: SKAT Online Institut
Gravatar #14 - gramps
6. dec. 2012 00:02
http://www.dr.dk/Nyheder/Indland/2012/12/05/140934...
Gravatar #15 - Rainmeter
6. dec. 2012 06:28
#14
Windows XP <3
Gravatar #16 - stekkurms
17. dec. 2012 22:56
Rainmeter (15) skrev:
Windows XP
Hvad har den artikel med Windows XP at gøre?

http://www.dr.dk/Nyheder/Indland/2012/12/05/140934.htm skrev:
Der er nogle, der ikke er stive nok i at skille fårene fra bukkene. Når der er så mange ældre mennesker, der skal lære at begå sig på nettet, er det vigtigt, at vi får stoppet det her i fødslen, siger han.
Er han ikke klar over, at dette er stået på i mange år? Er phishing ikke forgået i mere end 10 år efterhånden?
Gravatar #17 - kinaholm
17. dec. 2012 22:58
#16 tjek hans skærm i baggrunden...
Gravatar #18 - stekkurms
17. dec. 2012 23:05
kinaholm (17) skrev:
tjek hans skærm i baggrunden
De XP systemer jeg har set havde ikke den der tomme plads under taskbaren. Derfor troede jeg det var en eller anden nyere version.
Gravatar #19 - gramps
18. dec. 2012 01:31
stekkurms (18) skrev:
kinaholm (17) skrev:
tjek hans skærm i baggrunden
De XP systemer jeg har set havde ikke den der tomme plads under taskbaren. Derfor troede jeg det var en eller anden nyere version.


Den der tomme plads under taskbaren er der fordi han har øget højden, så der er plads til flere åbne programmer samt hele datoen (dvs. dato, dag og tidspunkt) i højre hjørne.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login