Postbank scam geanalyseerd
Vincent van Scherpenseel heeft een zeer uitgebreide technische analyse uitgevoerd op de phishing mail die afgelopen weekend werd verstuurd uit naam van de Postbank. De lezer wordt stap voor stap door de URLs en scripts geleid die de scammers gebruiken om wachtwoorden en TAN codes te ontfutselen. Overigens lijken de meeste scripts nog steeds te werken hoewel men hier en daar wat redirects heeft aangepast, waarschijnlijk vanwege afsluitingen bij hosting providers.
Reacties (18)
Aardige analyse, maar ook niet wereldschokkend. De inhoud
van die CGI-scripts zou wel interessant zijn.
Wel mag Vincent wat aan zijn Engels doen, want dat is af en
toe echt tenenkrommend. Bijvoorbeeld "...jumps into the eye..."
van die CGI-scripts zou wel interessant zijn.
Wel mag Vincent wat aan zijn Engels doen, want dat is af en
toe echt tenenkrommend. Bijvoorbeeld "...jumps into the eye..."
06-06-2005, 17:00 door
frits danon
Wel grappig dat Vincent vertelt dat de Postbank de slechtste
security measures in place heeft en dat de tokens e.d. van
andere banken beter zijn.
De grap is namelijk dat bij de tokens al aangetoond is dat
ze onveilig zijn, n.l. gevoelig voor The Man in The Middle
aanvallen. En het maffe is dat dat bij de Postbank dus nog niet aangetoond is. (hoewel het m.i. op exact dezelfde manier ook wel kan).
In de basis is het token niet anders dan een TAN-lijst,
beiden genereren een geheime code.
Verder ben ik van mening dat een ID/wachtwoord combinatie
niet echt onder doet voor tokens en vingerafdrukken of wat
dan ook. Natuurlijk kunnen ze afgeluisterd maar dat kan met
tokens en vingerafdrukken ook. Nog sterker, vingerafdrukken zijn helemaal niet te vertrouwen, omdat ze werkelijk overal opzitten, dus als gebruiker van een vingerafdruk als wachtwoord, laat je dat wachtwoord overal achter.
Het enige wat echt serieus helpt is een certificaat, maar
dat gaat de meeste banken nog te ver.
ja, ja, en ik heb ook postbankrekening, dus daar hoeft niet
op gereageerd te worden. ;-)
frits
security measures in place heeft en dat de tokens e.d. van
andere banken beter zijn.
De grap is namelijk dat bij de tokens al aangetoond is dat
ze onveilig zijn, n.l. gevoelig voor The Man in The Middle
aanvallen. En het maffe is dat dat bij de Postbank dus nog niet aangetoond is. (hoewel het m.i. op exact dezelfde manier ook wel kan).
In de basis is het token niet anders dan een TAN-lijst,
beiden genereren een geheime code.
Verder ben ik van mening dat een ID/wachtwoord combinatie
niet echt onder doet voor tokens en vingerafdrukken of wat
dan ook. Natuurlijk kunnen ze afgeluisterd maar dat kan met
tokens en vingerafdrukken ook. Nog sterker, vingerafdrukken zijn helemaal niet te vertrouwen, omdat ze werkelijk overal opzitten, dus als gebruiker van een vingerafdruk als wachtwoord, laat je dat wachtwoord overal achter.
Het enige wat echt serieus helpt is een certificaat, maar
dat gaat de meeste banken nog te ver.
ja, ja, en ik heb ook postbankrekening, dus daar hoeft niet
op gereageerd te worden. ;-)
frits
06-06-2005, 17:07 door
EricC
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
06-06-2005, 17:14 door
Jeroen Wijnands
Ik vraag me af of het zo onveilig is. Ik krijg een sms met
tan code per transactie. Dus iemand die kwaad wil heeft m'n
username, password en toegang tot m'n sms verkeer nodig, of
zie ik dat verkeerd?
tan code per transactie. Dus iemand die kwaad wil heeft m'n
username, password en toegang tot m'n sms verkeer nodig, of
zie ik dat verkeerd?
Erg handig die html code, kan alles door anderen worden overgenomen,
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
Wie kan iets met deze technische publicatie..?
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
Wie kan iets met deze technische publicatie..?
06-06-2005, 17:26 door
G-Force
Vincent beweert dat de (Poolse?) phishers geen Nederlands spreken,
maar de vraag is dan wel, hoe zij dan deze phishing in elkaar konden
zetten. Daarvoor moet je op z'n minst de postbanksite kunnen lezen en
weten wat je moet vragen om deze informatie te misbruiken.
Raadselachtig is het daarom dat de phishing-mails in het Engels zijn
gesteld en niet in het Nederlands.
Maar misschien heeft iemand nog meer ideeën?
maar de vraag is dan wel, hoe zij dan deze phishing in elkaar konden
zetten. Daarvoor moet je op z'n minst de postbanksite kunnen lezen en
weten wat je moet vragen om deze informatie te misbruiken.
Raadselachtig is het daarom dat de phishing-mails in het Engels zijn
gesteld en niet in het Nederlands.
Maar misschien heeft iemand nog meer ideeën?
06-06-2005, 17:43 door
G-Force
Door Jeroen Wijnands
Ik vraag me af of het zo onveilig is. Ik krijg een sms met
tan code per transactie. Dus iemand die kwaad wil heeft m'n
username, password en toegang tot m'n sms verkeer nodig, of
zie ik dat verkeerd?
Ik vraag me af of het zo onveilig is. Ik krijg een sms met
tan code per transactie. Dus iemand die kwaad wil heeft m'n
username, password en toegang tot m'n sms verkeer nodig, of
zie ik dat verkeerd?
Ja, maar als zou men de signalen aftappen, dan hebben ze er nog niets
aan aangezien de TAN-codes na invoer direct onbruikbaar worden.
Erg handig die html code, kan alles door anderen
worden overgenomen,
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
Tsja, sommigen geloven meer in full disclosure dan securityworden overgenomen,
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
through obscurity.
Wie kan iets met deze technische publicatie..?
De analyse is bedoeld om te bekijken welke techniekenphishers gebruiken om hun slachtoffers zover te krijgen een
bepaalde actie uit te voeren. 't Is puur ter leering ende
vermaeck.
06-06-2005, 17:57 door
frits danon
Door EricC
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Nee hoor, helemaal geen spullen achter mijn naam.
Door frits danon
Nee hoor, helemaal geen spullen achter mijn naam.
Door EricC
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Nee hoor, helemaal geen spullen achter mijn naam.
Wat is er mis met CISSP?
Door frits danon
Wel grappig dat Vincent vertelt dat de Postbank de slechtste
security measures in place heeft en dat de tokens e.d. van
andere banken beter zijn.
De grap is namelijk dat bij de tokens al aangetoond is dat
ze onveilig zijn, n.l. gevoelig voor The Man in The Middle
aanvallen........
Wel grappig dat Vincent vertelt dat de Postbank de slechtste
security measures in place heeft en dat de tokens e.d. van
andere banken beter zijn.
De grap is namelijk dat bij de tokens al aangetoond is dat
ze onveilig zijn, n.l. gevoelig voor The Man in The Middle
aanvallen........
Gewoon maninthemiddle.exe downloaden en dan ben je klaar. Enig idee
hoe moeilijk het is om zo'n aanval uit te voeren.
Ach, het feit dat je Nederlandse klanten van een Nederlandse Bank gaat
spammen in het Engels zegt al genoeg over het nivo. Daar heb je geen
enkele "technische" analyse bij nodig.
Wat veel intressanter is buiten naar welke site het in Rusland wijst is waar
de source host van deze spam zich bevind, immers de KLPD zie ik geen
inval doen in Rusland en de Russische autoriteiten zullen wel wat beters
te doen hebben dan een website downbrengen.... Zoals miljardairs
oppakken enzo.
spammen in het Engels zegt al genoeg over het nivo. Daar heb je geen
enkele "technische" analyse bij nodig.
Wat veel intressanter is buiten naar welke site het in Rusland wijst is waar
de source host van deze spam zich bevind, immers de KLPD zie ik geen
inval doen in Rusland en de Russische autoriteiten zullen wel wat beters
te doen hebben dan een website downbrengen.... Zoals miljardairs
oppakken enzo.
...
Wel mag Vincent wat aan zijn Engels doen, want dat is af en
toe echt tenenkrommend. Bijvoorbeeld "...jumps into the
eye..."[/quote]Ja, maar Vincent is een Rastakid!
Wel mag Vincent wat aan zijn Engels doen, want dat is af en
toe echt tenenkrommend. Bijvoorbeeld "...jumps into the
eye..."[/quote]Ja, maar Vincent is een Rastakid!
06-06-2005, 22:42 door
Frans E
Mooi analyze Vincent.
Je vroeg je af wat RCVD_IN_LSORBS betekende.
RCVD_IN_LSORBS is een custom made tag van wanadoo en betekent dat
hij in de lijst van sorbs voorkomt als Dynamic IP, Proxy, Relay ,Spam
Sender, Vulnerabil PC of Zombie Netblock.
In dit geval is de 68.200.8.132 een Dynamic IP.
Ze hebben inmiddels wel de redirect (http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru) zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Aan de headers van de mail te zien lijkt de phishing mail
(HTML.Phishing.Bank-1(ClamAV)) verstuurd te worden door een van de
mytob virussen.
Het gebruik van img10.cgi script is ook niet onbekend en al veelvuldig
gesignaleerd in pishing sites. Het verbaast me dan ook niet als deze site
het resultaat zou zijn van een
[url=http://www.sophos.com/spaminfo/articles/diyphishing.html]phishing
toolkit[/url] waar Sophos vorig jaar al over berichte.
Je vroeg je af wat RCVD_IN_LSORBS betekende.
RCVD_IN_LSORBS is een custom made tag van wanadoo en betekent dat
hij in de lijst van sorbs voorkomt als Dynamic IP, Proxy, Relay ,Spam
Sender, Vulnerabil PC of Zombie Netblock.
In dit geval is de 68.200.8.132 een Dynamic IP.
Ze hebben inmiddels wel de redirect (http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru) zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Aan de headers van de mail te zien lijkt de phishing mail
(HTML.Phishing.Bank-1(ClamAV)) verstuurd te worden door een van de
mytob virussen.
Het gebruik van img10.cgi script is ook niet onbekend en al veelvuldig
gesignaleerd in pishing sites. Het verbaast me dan ook niet als deze site
het resultaat zou zijn van een
[url=http://www.sophos.com/spaminfo/articles/diyphishing.html]phishing
toolkit[/url] waar Sophos vorig jaar al over berichte.
07-06-2005, 10:29 door
Jeroen Wijnands
Door Frans E
Ze hebben inmiddels wel de redirect
(http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru)
zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Ze hebben inmiddels wel de redirect
(http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru)
zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Zal misschien aan mijn config liggen maar als ik die link
volg kom ik, volgens mij, toch echt op de echte postbank
site uit.
Door Anoniem
Wat is er mis met CISSP?
Door frits danon
Nee hoor, helemaal geen spullen achter mijn naam.
Door EricC
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Nee hoor, helemaal geen spullen achter mijn naam.
Wat is er mis met CISSP?
Ze zeggen dat het moeilijk is en niet voor de europese markt.
Maar ik ga het as zaterdag uittesten want dan is mijn
exaemen.....
Door Anoniem
through obscurity.
Erg handig die html code, kan alles door anderen
worden overgenomen,
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
Tsja, sommigen geloven meer in full disclosure dan securityworden overgenomen,
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
through obscurity.
je zegt het alsof het iets slechts is
Door Jeroen Wijnands
Zal misschien aan mijn config liggen maar als ik die link
volg kom ik, volgens mij, toch echt op de echte postbank
site uit.
Het gaat om de popup die wordt getoond, de originele pagina van de Door Frans E
Ze hebben inmiddels wel de redirect
(http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru)
zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Ze hebben inmiddels wel de redirect
(http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru)
zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Zal misschien aan mijn config liggen maar als ik die link
volg kom ik, volgens mij, toch echt op de echte postbank
site uit.
postbank wordt alleen getoond om het betrouwbaarder te laten lijken.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
