
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


p.msonormal0, li.msonormal0, div.msonormal0


        {mso-style-name:msonormal;


        mso-margin-top-alt:auto;


        margin-right:0in;


        mso-margin-bottom-alt:auto;


        margin-left:0in;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


span.EmailStyle19


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal">You can ask to meet at a discreet location and let them hand you the thumb drive as you hand them the untraceable gift cards.  :-)<br>


<br>


Funny thread – I just reported a bogus “Your Office 365 account has expired” email to GoDaddy abuse last week as all signs suggested it came from a newly updated domain there.   First time I’ve sent to an abuse address in quite a while.  


<br>


<br>


That email purported to come from <blah>.<blah>.<blah>.prod.outlook.com but had 10.x.x.x addresses for those names.  Unfortunately, legitimate Office 365 mail originates from a plethora of such *.prod.outlook.com names none of which are resolvable so there’s


 no way to confirm a real name from a fake one such as those (2) seen in this email.   The fact it displayed 10.x.x.x addresses was telling but the most obvious tell was embedded in the headers was a domain name that has nothing to do with Microsoft.<br>


<br>


Maybe next person that reports they got one of the emails about “we know where you’ve been surfing” I’ll ask to give me a list of sites they remember to see if they do in true BOFH fashion.<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal"><b>From:</b> Ale <ale-bounces@ale.org> <b>On Behalf Of </b>Jim Kinney via Ale<br>


<b>Sent:</b> Monday, March 25, 2019 7:46 AM<br>


<b>To:</b> dev null zero two <dev.null.02@gmail.com>; Atlanta Linux Enthusiasts <ale@ale.org>; dev null zero two via Ale <ale@ale.org>; Alex Carver <agcarver+ale@acarver.net><br>


<b>Subject:</b> Re: [ale] Those "You've been hacked" emails<o:p></o:p></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal" style="margin-bottom:12.0pt">Those lying scumbags. Won't tell me what video I was watching. Won't even send teaser of what they claim to have. Just keep demanding money. Like I'm gonna pay upfront without knowing what I'm getting.<o:p></o:p></p>


<div>


<p class="MsoNormal">On March 25, 2019 12:00:44 AM EDT, dev null zero two via Ale <<a href="mailto:ale@ale.org">ale@ale.org</a>> wrote:<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<div>


<div>


<p class="MsoNormal">I meant to direct my reply to OP, sorry.<o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<div>


<p class="MsoNormal">On Mon, Mar 25, 2019 at 12:00 AM Alex Carver <<a href="mailto:agcarver%2Bale@acarver.net">agcarver+ale@acarver.net</a>> wrote:<o:p></o:p></p>


</div>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<p class="MsoNormal" style="margin-bottom:12.0pt">Right, that's why it's a "hacked machine" :)<br>


<br>


On 2019-03-24 20:58, dev null zero two wrote:<br>


> 99% chance it's sent from a compromised server.<br>


> <br>


> On Sun, Mar 24, 2019 at 11:56 PM Alex Carver via Ale <<a href="mailto:ale@ale.org" target="_blank">ale@ale.org</a>> wrote:<br>


> <br>


>> I got a raft of them sent to my personal server from various hacked<br>


>> machines.  A bunch in Brazil, one at Digital Ocean, another at Amazon<br>


>> EC2.  In my case they always wrote the from and to to be the same<br>


>> address so I added another ACL to the mail server to block anything that<br>


>> came from the outside and claimed to be from me and to me.  It all went<br>


>> away after that.<br>


>><br>


>> Of course these started showing up long after I had already been<br>


>> blocking entire netblocks for abuse (hundreds of relay attempts per<br>


>> minute) so I may have already been ignoring some sources.<br>


>><br>


>> On 2019-03-24 19:39, Ben Coleman via Ale wrote:<br>


>>> I'm sure you've gotten them - those emails claiming that they've hacked<br>


>>> you, and have video evidence of you activities while you're (ehem)<br>


>>> interacting with certain sites, and that this evidence can all go away<br>


>>> if you'll only deposit a certain amount of money into their bitcoin<br>


>>> account.  The latest tack they've been taking is to combine your email<br>


>>> with those caches of passwords from various exploits so they can appear<br>


>>> to know your passwords (yeah, one I used 10 years ago).<br>


>>><br>


>>> But what I didn't realize was how inexperienced (at least some of) these<br>


>>> guys are at the actual spamming game.  On a whim, I popped up the<br>


>>> headers for one of these (I've been amused before on how, for example,<br>


>>> some of these claim to have included a 'tracking pixel' on what is<br>


>>> actually a text/plain email).  To my surprise, there was but one<br>


>>> Received header.  Straight from their server to mine (well, they did try<br>


>>> to spoof the HELO to look like it was an outlook mail server, but if you<br>


>>> know anything about Received headers, you know to ignore that).  No<br>


>>> obfuscation of the headers at all.  And it was in the network of a VPS<br>


>>> vendor.  Now, it's possible that someone's had their VPS hacked, but<br>


>>> since this whole faux extortion thing is really script-kiddie level<br>


>>> stuff, it wouldn't surprise me if someone was stupid enough to send this<br>


>>> stuff out from their own VPS.<br>


>>><br>


>>> I felt transported back to the early 2000s when it was actually useful<br>


>>> to read Received headers, figure out where an email came from (even if<br>


>>> the spammer tried to inject bogus Received headers), and report it to<br>


>>> their ISP, with results (usually the spammer account shut down - I've<br>


>>> got my share of "positive" results, including one from Afterburner (for<br>


>>> those who remember him)).  Those days pretty much went away when the<br>


>>> spammers joined up with the botnet crowd.<br>


>>><br>


>>> So, I sent off a report to the VPS vendor's abuse account.  And went and<br>


>>> found another that originated off of an Amazon EC2 and shot off a report<br>


>>> to Amazon's abuse account.  Don't know yet if this will do any good.<br>


>>> But if any other ALEers have a nostalgic spot for the early<br>


>>> antispamming days, this may be a place where you can play again.<br>


>>><br>


>>> Ben<br>


>>><br>


>>><br>


>>> _______________________________________________<br>


>>> Ale mailing list<br>


>>> <a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>


>>> <a href="https://mail.ale.org/mailman/listinfo/ale" target="_blank">https://mail.ale.org/mailman/listinfo/ale</a><br>


>>> See JOBS, ANNOUNCE and SCHOOLS lists at<br>


>>> <a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a><br>


>>><br>


>><br>


>> _______________________________________________<br>


>> Ale mailing list<br>


>> <a href="mailto:Ale@ale.org" target="_blank">Ale@ale.org</a><br>


>> <a href="https://mail.ale.org/mailman/listinfo/ale" target="_blank">https://mail.ale.org/mailman/listinfo/ale</a><br>


>> See JOBS, ANNOUNCE and SCHOOLS lists at<br>


>> <a href="http://mail.ale.org/mailman/listinfo" target="_blank">http://mail.ale.org/mailman/listinfo</a><br>


>><o:p></o:p></p>


</blockquote>


</div>


</div>


<p class="MsoNormal">-- <o:p></o:p></p>


<div>


<p class="MsoNormal">Sent from my mobile. Please excuse the brevity, spelling, and punctuation.<o:p></o:p></p>


</div>


</blockquote>


</div>


<p class="MsoNormal"><br>


-- <br>


Sent from my Android device with K-9 Mail. All tyopes are thumb related and reflect authenticity.<o:p></o:p></p>


</div>


</body>


</html>