Saotn.org

Blog Archive

Phising

Met enige regelmaat horen we in het nieuws dat iemands bankrekening is geplunderd door internetcriminelen. En daarom besteden we nogmaals aandacht aan het onderwerp: phising.

Zojuist dook in mijn inbox een e-mail op, met het onderwerp Geachte klant abn amro bank en zogenaamd afkomstig van ABN.AMRO <abnamrobank_Beveiliging [at] intl.nl>. De eerste alinea was als volgt:

ABN AMRO is op DIT moment bezig met het vernieuwen van het systeembeveiliging vanwege de toename van internetcriminaliteit. Wij zijn gestart met het installeren van een nieuwe beveiligingssoftware tegen internetfraude. Wij verzoeken u eenmalig in te loggen op de onderstaande link om uw gegevens te controleren

Aanwijzingen dat het mis is

In de onderstaande schermafbeelding geeft mijn e-mailprogramma Thunderbird aan dat er iets niet geheel in de haak is. Er wordt een waarschuwing gegeven en het logo wordt niet geladen:

Stel dat ik de phising-bescherming uitgeschakeld heb, dan lijkt de e-mail op het oog redelijk authentiek: er is een ABN AMRO logo in de e-mail opgenomen, het eerdergenoemde afzendadres lijkt van de bank en de e-mail is ondertekend met “ABN AMRO N.V.”. Zie de volgende afbeelding:

Toch kunnen we uit de tekst afleiden dat de e-mail nep is: de spelling is behoorlijk belabberd. Daarnaast weet u van radio- en televisiereclame dat uw bank NOOIT via e-mail dit soort berichten stuurt.

Een derde aanwijzing verschijnt op het moment we de muiscursor op de link plaatsen (niet klikken! ;-))

Zien we daar links onderaan, in de statusbalk, niet een geheel ander websiteadres staan?!

Laatste aanwijzing – de headers

De laatste aanwijziging vinden we in de headers van de e-mail. Deze e-mail is absoluut niet van de ABN AMRO-systemen afkomstig!

Return-Path: <www-data@ns1.passosnet.com.br>
Delivered-To: x
Received: from net3-nl-mx-21.vevida.net (net3-nl-mx-21.vevida.net [IPv6:2a00:f60::1:40])
	by net3-nl-mail-05.vevida.net (Postfix) with ESMTP id 510469A2808F
	for <x>; Wed, 30 May 2012 12:51:08 +0200 (CEST)
X-Virus-Scanned: amavisd-new at vevida.net
X-Spam-Status: No, score=4.249 required=5 tests=[BAYES_40=-0.001,
	HTML_IMAGE_ONLY_16=1.092, HTML_MESSAGE=0.001,
	HTML_MIME_NO_HTML_TAG=0.377, HTTPS_HTTP_MISMATCH=1.989,
	MIME_HTML_ONLY=0.723, TO_NO_BRKTS_HTML_ONLY=0.001, TW_IJ=0.077,
	T_RP_MATCHES_RCVD=-0.01] autolearn=unavailable
Received: from ns1.passosnet.com.br (ns1.passosnet.com.br [186.227.240.12])
	by net3-nl-mx-21.vevida.net (Postfix) with ESMTP id 078022E88082
	for <x>; Wed, 30 May 2012 12:51:08 +0200 (CEST)
Received: from localhost (localhost [127.0.0.1])
	by ns1.passosnet.com.br (Postfix) with ESMTP id 0A30C16C441
	for <x>; Wed, 30 May 2012 07:50:40 -0300 (BRT)
X-Virus-Scanned: Debian amavisd-new at ns1.passosnet.com.br
X-Amavis-Alert: BAD HEADER SECTION, Improper use of control character (char 0D
	hex): From: ABN.AMRO <abnamrobank_Beveiliging [at] intl.nl>r
Received: from ns1.passosnet.com.br ([127.0.0.1])
	by localhost (ns1.passosnet.com.br [127.0.0.1]) (amavisd-new, port 10024)
	with ESMTP id S38E8z5bV2I5 for <x>;
	Wed, 30 May 2012 07:50:39 -0300 (BRT)
Received: by ns1.passosnet.com.br (Postfix, from userid 33)
	id BDB9E16C4C7; Wed, 30 May 2012 07:49:53 -0300 (BRT)
To: x
Subject: Geachte klant abn amro bank
From: ABN.AMRO <abnamrobank_Beveiliging [at] intl.nl>
Reply-To: abnamrobank_Beveiliging [at] intl.nl
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id: <20120530104953.BDB9E16C4C7@ns1.passosnet.com.br>
Date: Wed, 30 May 2012 07:49:53 -0300 (BRT)

Headers

U vindt op de website van XS4ALL meer informatie over het lezen van headers. XS4ALL beschrijft ook hoe u de volledige headers bij de meestgebruikte e-mailprogramma’s opvraagt: http://www.xs4all.nl/klant/helpdesk/email/spam/headerslezen.php.

Een nog uitgebreider overzicht vindt u op de pagina van Spamcop.

Veilig internetten

Door verstandig met uw computer om te gaan kunt u veilig(er) internetten. U vindt tips en adviezen hierover op de volgende links:

Phising internetfraude e-mails

Sinds vandaag zien we een behoorlijke toename in phising (een vorm van internetfraude) e-mails, waarin de gebruiker wordt gemeld dat zijn e-mailaccount gehackt en over quota is. De gebruiker moet op een link inloggen om zijn account te heractiveren.

volledige bericht

Het volledige bericht is

Dear User,
Your mailbox have been compromised and also have exceeded its storage limit set by 
the administrator, you may not be able to send or receive new mail until you 
Re-activate your mailbox. To Re-activate your mailbox please click here
Thanks
System Administrator
------------------
Uw opslag limiet is overschreden, kunt u niet meer e-mails versturen totdat je 
opnieuw te valideren, om opnieuw te valideren klik hier
Votre limite de stockage a ?t? d?pass?, vous ne pouvez plus envoyer des mails 
jusqu'? ce que vous re-valider, pour re-valider, cliquez ici
Ihr Speicherplatz ?berschritten wurde, kann man nicht mehr Mails versenden, bis 
Sie neu zu validieren, um re-validate klicken Sie hier

Uiteraard gaat het hier om internetcriminelen die e-mailaccountgegevens proberen afhandig te maken van onwetende gebruikers. Ga hier nooit op in!

afzendgegevens

Met de volgende afzendgegevens

From: "Webmail Administrator"<admin @webmail.nl>
Subject: Limit Exceeded
Date: Tue, 29 Nov 2011 04:48:20 -0500

Ook deze gegevens van de verzender zijn vervalst.

meer informatie

Meer praktische tips voor een betere computerbeveiliging
Anti Phising Working Group

Sinds vandaag (voor zover ik weet) gaat er een phishing scam rond, bedoeld om Network Solutions klanten inlognamen en wachtwoorden af te troggelen. Deze scam is vergelijkbaar met de recente Enom phishing scam (link 2).

De e-mails gaan de wereld in met in ieder geval de volgende twee onderwerpen:

  • Please, renew your domains
  • Your domains will be expired soon!

en de body van de e-mail vertelt een verhaal over een expired domein wat verkocht is, waarvoor de ontvanger percentage van de verkoopprijs kan ontvangen.

Dear Network Solutions Customer,

We recently notified you that the registration period for your Network Solutions domain name had expired. As a benefit of having previously registered a domain name(s) with Network Solutions, you are eligible to receive a percentage of the net proceeds that were generated from the renewal and transfer of the domain name you chose not to renew. Since you have chosen not to renew the domain name listed below during the applicable grace period, we were successful in securing a backorder for this domain name on your behalf and it has been transferred to another party in accordance with the Service Agreement.

Renew your domain now – http://www.networksolutions.com

You must click on the following link, enter your domain name, and confirm your contact information in order to claim these funds. If your contact information is not correct, you must enter Account Manager and make the appropriate changes prior to clicking “submit” from the confirmation screen. If you do not do this, you will be confirming inaccurate information and will not receive any payment. Checks will only be made payable and mailed to the Account Holder of record.

Sincerely,

Network SolutionsĀ® Customer Support

Waarbij de link “http://www.networksolutions.com” doorgaat naar http://www (dot) networksolutions.com (dot) sys49.mobi/.

Network Solutions phishing website

Network Solutions phishing website

Via Round Robin DNS wordt de website op vele, gekraakte, computers met xDSL of kabel verbindingen gehost, voornamelijk bij ComCast:

$ host www.networksolutions.com.sys49.mobi
www.networksolutions.com.sys49.mobi has address 98.216.102.126
www.networksolutions.com.sys49.mobi has address 82.26.73.221
www.networksolutions.com.sys49.mobi has address 68.36.238.160
www.networksolutions.com.sys49.mobi has address 74.132.157.170
www.networksolutions.com.sys49.mobi has address 69.139.65.106
www.networksolutions.com.sys49.mobi has address 76.17.145.49
www.networksolutions.com.sys49.mobi has address 24.33.253.8
www.networksolutions.com.sys49.mobi has address 76.119.35.217
www.networksolutions.com.sys49.mobi has address 98.229.69.62
www.networksolutions.com.sys49.mobi has address 69.234.50.97

$ host 98.216.102.126
126.102.216.98.in-addr.arpa domain name pointer c-98-216-102-126.hsd1.ma.comcast.net.
$ host 82.26.73.221
221.73.26.82.in-addr.arpa domain name pointer client-82-26-73-221.bmly.adsl.virgin.net.
$ host 68.36.238.160
160.238.36.68.in-addr.arpa domain name pointer c-68-36-238-160.hsd1.nj.comcast.net.
$ host 74.132.157.170
170.157.132.74.in-addr.arpa domain name pointer 74-132-157-170.dhcp.insightbb.com.
$ host 76.17.145.49
49.145.17.76.in-addr.arpa domain name pointer c-76-17-145-49.hsd1.mn.comcast.net.
$ host 69.139.65.106
106.65.139.69.in-addr.arpa domain name pointer c-69-139-65-106.hsd1.pa.comcast.net.
$ host 24.33.253.8
8.253.33.24.in-addr.arpa domain name pointer cpe-24-33-253-8.indy.res.rr.com.
$ host 76.119.35.217
217.35.119.76.in-addr.arpa domain name pointer c-76-119-35-217.hsd1.ma.comcast.net.
$ host 98.229.69.62
62.69.229.98.in-addr.arpa domain name pointer c-98-229-69-62.hsd1.ma.comcast.net.
$ host 69.234.50.97
97.50.234.69.in-addr.arpa domain name pointer adsl-69-234-50-97.dsl.irvnca.pacbell.net.

Alle betrokken zijn, voor zover mogelijk, via een abuse-bericht hiervan op de hoogte gesteld, alsmede het Internet Storm Center.

Hopelijk volgen er in de komende dagen wat updates…


Search & find

Custom Search
About Sysadmins of the North

Hi and welcome to Sysadmins of the North!
Sysadmins of the North is just another technical blog. Just like so many others out there. Most posts are written in English, some in Dutch. On Saotn.org you can find all kinds of computer, server, web, sysadmin, database and security related stuff.

About me: My name is Jan Reilink. I am not a hacker, coder, developer, programmer or guru. I am merely a system administrator, doing his daily thing at Vevida Services in the Netherlands. Living in the north of the Netherlands, so hence the name Sysadmins of the North :-)
Drop me a comment somewhere or send an email to say hi, or discuss about security, website or WordPress, performance, Windows or IIS topics.

Support Saotn.org

If you feel that Sysadmins of the North has helped solve your problem, saved you time, or you just simply like Saotn.org, then please consider making a donation. Thanks! :)

IT Books & WP Themes

Windows PowerShell Cookbook: The Complete Guide to Scripting Microsoft\'s Command Shell
DNS and BIND - 5th Edition
DNSSEC Mastery: Securing the Domain Name System with BIND
Windows Server 2012 Unleashed
Enfold - Responsive Multi-Purpose WordPress Theme
Striking MultiFlex & Ecommerce Responsive WordPress Theme

 

The Sysadmins of the North network

Just for the fun of it, Sysadmins of the North is hosted on mulitple servers:

  1. one (shared) Windows Server 2012, IIS 8.0 webserver running PHP 5.5
  2. one (shared) MySQL database server, running MariaDB 5.5
  3. one Varnish Cache HTTP reverse proxy with Nginx Droplet, for offloaded static content, running Debian 7.0 @ DigitalOcean
Easy share

Be social and share posts if you like them. Thanks!
RSS feed
If you like Saotn.org:
donate to Sysadmins of the North
Twitter Feed

What's happening, right now, around Saotn.org?


Bad Authentication data
Copyright Ā© 2007-2014 Saotn.org . Design by OrangeIdea