Grappig, ik heb net dezelfde ontvangen.

Geachte heer,mevrouw

Wij sommeren u dat het totaalbedrag ad. € 3365,77 binnen 1 werkdag afgeschreven wordt van uw rekeningnummer ******.

U kunt uw factuur bekijken op de onderstaande link:

https://rabobank.nl/factuur/mijn/253

Dhr. K. Sanders
Centraal Invorderings Bureau
Jan Leentvaarlaan 65-67
3065 DC Rotterdam
T: 010 - 888 444
E: info@bibincasso.nl

Groet, Rick

RAAK? - malware op de site van Rabobank !?

Testje met bezoeken van pagina : https://rabobank.nl/klanten/2392493

Firewall informatie met connectie

1e verbinding
rabobank.nl
connectie over poort 443
ip adres : 145.72.70.20
reverse dns : rabobankudenveghel.nl

2e verbinding
statistiek.rabobank.nl
connectie over poort 443
ip adres : 145.72.64.76
reverse dns : statistiek.rabobank.nl

Ik kom uit op de pagina : https://www.rabobank.nl/particulieren/

- - - - - - -

Domain en ip reports check

http://www.urlvoid.com/scan/rabobank.nl/

! -> http://www.urlvoid.com/ip/145.72.70.20

! -> http://www.avgthreatlabs.com/website-safety-reports/domain/rabobank.nl/
"During the last 7 days potentially active malware was detected on the main site of this domain. (updated Jan 04, 2014 GMT)"

http://www.ipvoid.com/scan/145.72.70.20
http://www.urlvoid.com/scan/rabobankudenveghel.nl/
https://www.robtex.com/ip/145.72.70.20.html


Of zou het een False Positive zijn?

Je bent niet de enige. Ik krijg regelmatig deze rommel.

Geachte heer,mevrouw

Wij sommeren u dat het totaalbedrag ad. € 3365,77 binnen 1 werkdag afgeschreven wordt van uw rekeningnummer ******.

U kunt uw factuur bekijken op de onderstaande link:

https://rabobank.nl/factuur/mijn/253

Dhr. K. Sanders
Centraal Invorderings Bureau
Jan Leentvaarlaan 65-67
3065 DC Rotterdam
T: 010 - 888 444
E: info@bibincasso.nl

Logo

E-mail disclaimer
Het Centraal Invorderings Bureau heeft aan het opstellen en verzenden van dit e-mail bericht (met bijlagen)
de nodige zorg besteed. Desondanks is het mogelijk dat dit bericht onvolledig is, onjuistheden bevat, niet
voor u is bestemd en/of te laat wordt ontvangen. Het Centraal Invorderings Bureau aanvaardt daarvoor geen
aansprakelijkheid. Evenmin kunnen aan dit bericht rechten worden ontleend. De informatie verzonden in dit
e-mail bericht inclusief de bijlage(n) is vertrouwelijk en is uitsluitend bestemd voor de geadresseerde van dit
bericht. Indien u niet de beoogde ontvanger van dit bericht bent, verzoekt Het Centraal Invorderings Bureau u
vriendelijk doch dringend dit bericht te verwijderen en eventuele bijlagen niet te openen. Het Centraal
Invorderings Bureau wijst u op de onrechtmatigheid van het openbaar maken, gebruiken, ver menigvuldigen,
verspreiden en/of verstrekken van de inhoud van dit bericht aan derden. Tevens wordt u verzocht de afzender
per omgaande van de onjuiste adressering/ontvangst op de hoogte te stellen en dit bericht, met inbegrip van
eventuele bijlagen, uit uw systeem te wissen. Het Centraal Invorderings Bureau aanvaardt geen
aansprakelijkheid voor schade, van welke aard ook, die verband houdt met risico’s verbonden aan het
elektronisch verzenden van berichten.

Vanwege de eindejaarsuitkering in de maand December stelt onze opdrachtgever dat op 24-13-2013 automatisch het volledige bedrag € 2600,53,- wordt afgeschreven.

Welke datum moet ik mij bij 24-13-2013 voorstellen ?

Hallo,
Ook ik kreeg deze mail in viervoud vandaag.
Ik heb er 1 doorgestuurd naar valse-email@rabobank.nl.
Vorige week zondag kreeg ik ook al soortgelijke e-mails, ook deze doorgestuurd.
Groeten Astrid

Het probleem is , geen bank of incasso bureau zend vorderingen via de email , dit gaat altijd per post.
Wegknikkeren dus.. of eigenlijk doorsturen naar het (hoofd)kantoor van de rabobank /politie afd. cybercrime , die doen er wel wat mee.
Gezien het grote bedrag vermoed ik dat u ook niet een van de armsten bent in NL , als dit het geval is , dan hebben ze al informatie van uw rekening.
Meeste scam als dit zijn de bedragen vaak aangepast aan een rekening.
Het heeft weinig nut iemand een rekening te sturen van 3000 euro als hij niets heeft.
Moest even lachen " op 24-13-2013 wordt het afgeschreven ".. nieuw maand in het jaar?

Met urlquery.net vindt ie een zogenaamde "Microsoft Internet Explorer remote code execution". Geen idee wat dat betekend.

http://urlquery.net/report.php?id=8704057

Heb ik ook gehad, precies hetzelfde bedrag en ook https://rabobank.nl/factuur/mijn/253
Niet erg slim van die phishers om daar niet een beetje variatie in te brengen

Wat mij ook opvalt is dat als je "https://rabobank.nl/klanten/2392493" bekijkt, je ziet dat hier spraken is van een "secure" verbinding wat raar is want Rabobank gebruikt alleen een "https " URL als je op het Inlogscherm komt en als je een transactie(en dergelijke) verwerkt. Het is misschien een klein detail, maar het zou wel aan kunnen duiden dat het hier waarschijnlijk een phishing-site betreft.

Geloof dat de meeste mensen die hier gereageerd hebben het helemaal niet begrijpen.

De https://rabobank.nl/factuur/mijn/253 die je leest is slechts een stukje tekst die, zoals in het eerste bericht ook werd aangegeven, linkt naar hele andere domeinen dan die van de rabobank.nl

De in de eerste post vermelde domeinen (www.krosselaaner.nl), (www.karollseweg.nl) en (www.berekler.nl) zijn de domeinen waar je terecht komt wanneer je op de link in de e-mail klikt.

Kijk in de broncode van de mail of statusbalk van je mailclient om te zien waar een link naar linkt. Als je dat niet doet ben je wel een zeer makkelijk slachtoffer van phishing praktijken.

@LightFrame Je hoeft helemaal niet in de broncode te kijken. Als op je reply klikt (zonder de intentie te verzenden) zie je een of ander warrig emailadres. Ik stuur dit soort mails gelijk door naar valse-email@rabobank.nl.

En wat doet rabobank.nl er vervolgens mee? Want daar ben ik dan ook wel weer benieuwd naar.
Het zou toch aardig zijn om als bank op je site een aparte pagina bij te houden met "scams" zodat mensen weten waar ze vooral niet op in moeten gaan...

Het is niet gebruikelijk dat banken E-mails versturen DAT MOET IEDEREEN INTUSSEN WETEN !.
Als je een mail krijg over financiële zaken kan je met 100% zekerheid zegen dat dit valse mail zijn en de opzet hebben jouw gegevens in te pikken en te misbruiken wat heel veel geld kan gaan kosten.
BANKEN STUREN PER POST HET VERZOEK ZICH BIJ HET BANKFILIAAL IN JOU OMGEVING TE MELDEN DUS STUREN BESLIST GEEN E-MAIL EN TELEFONISCH NEEMT EEN BANK NOOIT CONTACT OP.
Ik spreek hier wel uit ervaring ik verwijder deze E-mail,s zonder te openen of te lezen, dan kan men ook niet via een backdoor in je computer komen

1) Ik zag het webadres achter de links wel maar vatte het anders op ('begreep het anders'), namelijk dat het een redirect zou betreffen. Reden om een testje te doen met de link "https://rabobank.nl/klanten/2392493"
Met als conclusie dat ik in ieder geval niet op dat andere domein uitkwam.

2) Verborgen onderliggende (html-mail)links had ik inderdaad even geen rekening mee gehouden : daar heb je een goed en belangrijk punt, namelijk dat onder de 'tekst' van de link een andere hyperlink zit..

Het is inderdaad een beproefde truc, daarom is het goed om de Add-on bar (FF), Status Bar (Safari), status(?)-bar (IE) of de soortgelijke info-bar in je mailprogramma aan te hebben staan of als je de muis op een link navigeert te zien welke hyperlink het geeft in een mini pop up info window met daarin de echte link.

3) Evengoed had ik gisteren ook apart de tussen haakjes opgegeven domeinnamen bekeken :

Sidn geeft verschillende eigenaren voor de domeinnamen (www.krosselaaner.nl) / (www.karollseweg.nl) /(www.berekler.nl)
Het eerste en derde domein zijn als website niet actief (lege pagina bij de domein-hoster)
! Voor het tweede domein "karollseweg" dat in Duitsland wordt gehost waarschuwt Firefox

"Reported Web Forgery!

This web page at www.karollseweg.nl has been reported as a web forgery and has been blocked based on your security preferences.

Web forgeries are designed to trick you into revealing personal or financial information by imitating sources you may trust.

Entering any information on this web page may result in identity theft or other fraud."

Wat betreft het domein (www.karollseweg.nl)
IP : 81.169.145.151
Reverse dns adres : w97.rzone.de

http://www.ipvoid.com/scan/81.169.145.151
geeft geen Blacklist report

http://www.urlvoid.com/scan/karollseweg.nl/
geeft geen Blacklist report

http://www.urlvoid.com/scan/w97.rzone.de/
geeft 1 blacklist report van WOT
https://www.mywot.com/en/scorecard/w97.rzone.de
"The site has a very poor reputation based on user ratings, and it is not suitable for children."
Een WOT rating, maar iedereen kan een rating opgeven voor een site via WOT geloof ik (bij alleen een rating van WOT twijfel ik altijd een beetje).

Meer webdomeinen onder 1 ip adres en 'reputatie' van sommige hosters :
"This subdomain inherits the reputation of rzone.de."

Ergens zag ik de hoster Strato AG staan, het is me al eens opgevallen dat bij webdomeinen onder een gedeeld ip adres bij deze hoster wel eens websites zitten die dan wel besmet zijn (kennelijk scannen zij niet de websites van hun klanten, misschien is dat heel normaal, ergens jammer dat dat niet gebeurt).
Ik heb het idee dat sommige anti-virusbedrijven bij een besmetting onder een bepaald ip-adres dan meteen een waarschuwing afgeven voor alle websites die onder dat ene ip-adres hangen.
Dat is nogal vervelend als jouw website schoon is want het is lastig om die waarschuwing weer uit de wereld te krijgen.

4) ! blijft staan de waarschuwing van AVGThreadlabs en de meer specifieke van urlquery.net voor Rabobank.nl met de melding "ETPRO WEB_CLIENT Microsoft Internet Explorer remote code execution via option element" met severity 1.

Dat gaat om (voorzover ik er iets over kon vinden en van wat ik ervan begrijp) om een kwetsbaarheid uit 2011 die inmiddels gepatched is door Microsoft.
Ik snap alleen niet wat dit is, hoe dit werkt en of het nog een bedreiging is.
Daarbij kreeg ik het idee dat dit alleen geldt voor Internet Explorer versies tot en met versie 8.

Dus de vraag van reageerder 16:21 Anoniem herhalend ; wat betekent ""ETPRO WEB_CLIENT Microsoft Internet Explorer remote code execution via option element" nu en is het een werkelijke thread?

Bijkomend probleem dus nog niet helemaal uit de wereld?

5) Verder levert een nieuwe test van de link "https://rabobank.nl/klanten/2392493" ineens een ander reverse dns adres op?
https://rabobank.nl/klanten/2392493

Firewall informatie bij connectie poging

1e verbinding
rabobank.nl
connectie over poort 443
ip adres : 145.72.70.20
(VERANDERD!) reverse dns : rabobankkrimpennerwaard.nl (en eerst rabobankudenveghel.nl ?)

2e verbinding
statistiek.rabobank.nl
connectie over poort 443
ip adres : 145.72.64.76
reverse dns : statistiek.rabobank.nl

Komt wederom uit bij "https://www.rabobank.nl/particulieren/"

6) (de andere mailphishing links heb ik verder niet bekeken, dat geloof ik verder wel)

klopt, maar het kan nog makkelijker. Bij Apple Mail verschijnt de onderliggende link in beeld als je de muispointer ca 1 sec boven de link houdt. En ik ga er toch vanuit dat elke serieuze mail client de optie geeft om die onderliggende link op een simpele wijze te tonen. Zonder die controle zou ik nooit op een link klikken.


Ik heb er toevallig twee gekregen vandaag. Dus zeg niet dat het ongebruikelijk is. Banken besparen ook en sturen steeds meer nieuwsbrieven per mail. En telefonisch ben ik ook vaak genoeg benaderd op een legitieme wijze. Onlangs zelfs uit Duitsland omdat ik de BIC code niet op mijn betaalopdracht had staan en of ik die telefonisch kon doorgeven. Bij mijn Nederlandse bank ben ik zo gewend dat het niet meer hoeft, maar pas vanaf febr 2016 mogen banken die code niet meer eisen bij overboekingen tussen EU landen.

Dus het gaat er niet over of ze mail/telefoon gebruiken, maar meer of de inhoud bij dat medium past.

"ETPRO WEB_CLIENT Microsoft Internet Explorer remote code execution via option element"

Kennelijk heeft de RaboBank het probleem opgelost want de melding "ETPRO WEB_CLIENT Microsoft Internet Explorer remote code execution via option element" verschijnt niet meer met een nieuwe scan op urlquery.net
Zie : http://urlquery.net/report.php?id=8722131

Dat is zo maar deze mail is niet "door een bank" gestuurd maar "door een incassobureau".
Vergelijkbare mails zijn in het verleden ook gestuurd "door een curator in een faillissement" en meer van dergelijke
variaties. Het schema is iedere keer hetzelfde, je zou nog een openstaande vordering hebben en die kun je bekijken
via een link in de mail, maar die verwijst naar malware.

Alleen, een tijdje geleden was er een bende opgepakt die achter die eerdere scams zat. Nu is men kennelijk weer
op vrije voeten en gaat gewoon door, of niet de hele bende is gepakt en de rest gaat gewoon door.
Het zijn wel dezelfde mensen denk ik want de methoden zijn exact hetzelfde.
De mails komen ook vaak door spamscanners heen omdat ze weinig spam-specifieke kenmerken hebben.

Daarbij komt dat het "Centraal Invorderings Bureau" officieel NIET bestaat!
Voorbeeld:

----- Original Message -----
From: incasso@rabobank.nl
To:
Sent: Saturday, December 28, 2013 10:27 PM
Subject: U heeft geen gehoor gegeven aan een eerder betalingsverzoek inzake een vordering van Wehkamp.nl


Geachte Heer,mevrouw

U heeft geen gehoor gegeven aan een eerder betalingsverzoek inzake een vordering van Wehkamp.nl

Onze deurwaarder zal binnenkort bij u langskomen om een dagvaarding aan u te overhandigen. Dit houdt in dat de deurwaarder, na het behalen van vonnis, beslag kan leggen op uw bankrekening(en), voertuigen en eigendommen. De kosten hiervan kunnen oplopen tot circa € 6300,00.

Vanwege de eindejaarsuitkering in de maand December stelt onze opdrachtgever u nog eenmalig in de gelegenheid om het openstaande bedrag te voldoen en een bezoek van de deurwaarder te voorkomen.Wij sommeren u dat het totaalbedrag ad. € 6623,65 binnen 1 werkdag afgeschreven wordt van uw rekeningnummer ******.

U kunt uw online facturen bekijken op de onderstaande link:

https://rabobank.nl/mijn/facturen/4542AB5D


In afwachting onder reserve van alle rechten en weren, Hoogachtend,

Centraal Invorderings Bureau
Jan Leentvaarlaan 65-67
1566 DC Rotterdam
T: 020 - 4145 444
E: info@bisincasso.nl

E-mail disclaimer
Het Centraal Invorderings Bureau heeft aan het opstellen en verzenden van dit e-mail bericht (met bijlagen)
de nodige zorg besteed. Desondanks is het mogelijk dat dit bericht onvolledig is, onjuistheden bevat, niet
voor u is bestemd en/of te laat wordt ontvangen. Het Centraal Invorderings Bureau aanvaardt daarvoor geen
aansprakelijkheid. Evenmin kunnen aan dit bericht rechten worden ontleend. De informatie verzonden in dit
e-mail bericht inclusief de bijlage(n) is vertrouwelijk en is uitsluitend bestemd voor de geadresseerde van dit
bericht. Indien u niet de beoogde ontvanger van dit bericht bent, verzoekt Het Centraal Invorderings Bureau u
vriendelijk doch dringend dit bericht te verwijderen en eventuele bijlagen niet te openen. Het Centraal
Invorderings Bureau wijst u op de onrechtmatigheid van het openbaar maken, gebruiken, vermenigvuldigen,
verspreiden en/of verstrekken van de inhoud van dit bericht aan derden. Tevens wordt u verzocht de afzender
per omgaande van de onjuiste adressering/ontvangst op de hoogte te stellen en dit bericht, met inbegrip van
eventuele bijlagen, uit uw systeem te wissen. Het Centraal Invorderings Bureau aanvaardt geen
aansprakelijkheid voor schade, van welke aard ook, die verband houdt met risico’s verbonden aan het
elektronisch verzenden van berichten.

Kijk ook http://www.fraudehelpdesk.nl/nieuwsbericht/nieuwe_variant_nepmail_deurwaarder

Nooit gehoord van een 13e maand? De meeste leveren geld op. Deze kost geld

Hang op, klik weg, bel uw bank

Delete gewoon die email en val er verder niemand mee lastig ;)
Iedereen met meer dan 12 hersencellen weet dat dit soort emails onzin is.

Doorsturen naar de bank : iemand anders was u zeer waarschijnlijk al voor dus u hoeft dat echt niet meer te doen.

Daarbij, er zijn duizenden van deze berichten per jaar per bank.
Dacht u echt dat de banken hier telkens actie op gaat ondernemen in de vorm van terugbellen naar de klant?

Bovendien, iemand die denkt recht te hebben op een betaling kan gewoon een normale brief sturen of langskomen.

Nou dat is de KVK toch niet met jou eens!


Centraal Invorderings Bureau B.V.
Hoofdvestiging

KVK 24470897
Vestigingsnr. 000020246447
Jan Leentvaarlaan 65 -67
3065DC
ROTTERDAM

24470897 0000 000020246447 Centraal Invorderings Bureau BV. Centraal Invorderings Bureau BV, Centraal Invorderings Bureau. ...

Centraal Invorderings Bureau B.V.

KVK 24470897
Rechtspersoon

24470897. Centraal Invorderings Bureau BV. Centraal Invorderings Bureau BV. Besloten vennootschap met gewone structuur.