Postbank slachtoffer phishing mail
Op dit moment krijgen veel internetters een valse, engelstalige, e-mail die van de Postbank afkomstig lijkt. Bij het bezoeken van de link in de e-mail wordt de gebruiker een site voorgeschoteld die lijkt op de website van de Postbank. Uiteraard wordt vervolgens om rekeninggegevens en wachtwoorden gevraagd. Indien deze ook daadwerkelijk worden achtergelaten is de kans groot dat de rekening wordt geplunderd door de phishers.
De Postbank waarschuwt overigens al geruime tijd in opvallende rode letters op de inlogpagina dat er nooit per e-mail om inloggevens gevraagd wordt. Inmiddels heeft de bank ook nog een extra waarschuwing op haar site gezet.
terecht komt. Netcraft wilde tot nu toe deze site niet opnemen in de toolbar.
De scam werd kennelijk gegenereerd vanuit het onderstaande IP-adres: 71.100.4.88. Het betreffende IP-adres wordt overigens wel geblokkeerd door de Netcraft toolbar.
===========================================================
Parsing header:
Received: from pool-71-100-4-88.tampfl.dsl-w.verizon.net (pool-71-100-4-88.tampfl.dsl-w.verizon.net [71.100.4.88]) by mxdrop42.xs4all.nl (8.13.3/8.13.3) with SMTP id j547Pwbr079505 for <x>; Sat, 4 Jun 2005 09:26:06 +0200 (CEST) (envelope-from CatarinaBuhrkuhl@postbank.nl)
71.100.4.88 found
host 71.100.4.88 = pool-71-100-4-88.tampfl.dsl-w.verizon.net. (cached)
pool-71-100-4-88.tampfl.dsl-w.verizon.net. is 71.100.4.88
Possible spammer: 71.100.4.88
71.100.4.88 is not an MX for pool-71-100-4-88.tampfl.dsl-w.verizon.net
host pool-71-100-4-88.tampfl.dsl-w.verizon.net (checking ip) = 71.100.4.88
Received line accepted
Tracking message source: 71.100.4.88:
Routing details for 71.100.4.88
[refresh/show] Cached whois for 71.100.4.88 : abuse@verizon.net
Using abuse net on abuse@verizon.net
abuse net verizon.net = abuse@verizon.net
Using best contacts abuse@verizon.net
Message is 12 hours old
71.100.4.88 not listed in dnsbl.njabl.org
71.100.4.88 not listed in dnsbl.njabl.org
71.100.4.88 listed in cbl.abuseat.org ( 127.0.0.2 )
71.100.4.88 is an open proxy
71.100.4.88 not listed in accredit.habeas.com
71.100.4.88 not listed in plus.bondedsender.org
71.100.4.88 not listed in iadb.isipp.com
Finding links in message body
no links found
als bovenstaande headers kloppen, inderdaad verzonden vanaf
71.100.4.88.
Als je email headers kunt lezen zie je zo dat de zendende
host pool-71-100-4-88.tampfl.dsl-w.verizon.net was
(bevestigd door de reverse loopkup van xs4all). Dat is een
(A)DSL PC in Tampa, Florida (en dat ligt niet in Zuidoost
Azië). Verizon is een van de de grotere ISP's in de USA (met
voortdurend grote aantallen spammende PC's van haar klanten).
Prima dat je deze PC bij spamcop hebt aangemeld, maar de
praktijk is dat spam (waaronder phishing mails) door grote
hoeveelheden backdoored PC's worden verzonden, bij voorkeur
aan het begin van het weekend (en ISP's niet of nauwelijks
ingrijpen na klachten).
Dat deze PC stond te spammen was mogelijk al bekend voordat
xs4all deze ontving:
http://cbl.abuseat.org/lookup.cgi?ip=71.100.4.88&.submit=Lookup
IP Address 71.100.4.88 was found in the CBL.
It was detected at 2005-06-04 07:00 GMT (+/- 30 minutes).
Spamcop is niet zo precies over wanneer een PC is aangemeld:
http://www.spamcop.net/w3m?action=checkblock&ip=71.100.4.88
System has been listed for less than 24 hours.
Om een beetje een idee over de proporties van het spam
probleem te krijgen, zie de regels daaronder op spamcop:
Other hosts in this "neighborhood" with spam reports
71.100.3.199 71.100.4.64 71.100.4.118 71.100.4.127 71.100.4.251
Kortom, het aanpakken van 1 enkele spammende PC gaat dit
probleem niet oplossen. Het uit de lucht halen van de target
server heeft dan iets meer effect, maar zoals je in mijn
post op het forum hebt kunnen lezen, werd deze via een
redirect bereikt. Die redirect was en is nog steeds niet uit
de lucht, en het is een koud kunstje om die naar een andere
server te laten wijzen. Dat is een vaak gebruikte tactiek
maar is nu (nog) niet toegepast; ik sluit niet uit dat dit
in de loop van de nacht of morgenochtend gebeurt.
Erik van Straten
adres dan ook verwijderd.
De rest van je verhaal is ook juist, maar ik ben van mening dat je ergens moet beginnen. Het is juist dat het opsporen en elimineren van een dergelijke aanval meer bij komt kijken dan alleen aanmelden bij SpamCop. Maar goed, we zien wel. De strijd tegen dit soort digitale criminaliteit is er een van een lange adem.
spamhost in Brazilie. Echter de link verwijst via Google.pl naar een
website in Rusland. Als je de gebruikte emailadressen bekijkt, dan zijn dit
stuk voor stuk Poolse namen. Mijn vermoeden is dat het een groep uit
Polen is die diverse Spam-relays gebruiken, die verwijzen naar de
desbetreffende Russische website.
C B.
mijnpostbank.nl website:
Belangrijk bericht voor Mijn Postbank.nl klanten. Lees verder.
Ga voorzichtig om met uw persoonlijke gegevens!
Mijn Postbank.nl is strikt persoonlijk. Medewerkers van
Postbank zullen daarom nooit naar uw gebruikersnaam,
wachtwoord, activeringscode of tan-codes vragen. Niet via
e-mail, telefoon of op welke andere manier dan ook.
Maar welke RANDDEBIEL reageert dan ook op een dergelijk
,engelstalig emailtje..
postbank gebruikers hebben een howto etc gelezen bij het
tekene van het contract..
nouja..
somige nederlanders zijn zo dom als vliegenstront.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
