Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
ABN Ambro 'Live Phishing trace sessie'
28-09-2012, 15:32 door Security Scene Team, 22 reacties
Geachte mede security lezers.
zojuist zat ik eventjes m'n spambox door te spitten, om te zien of er nog wat domme vissers te vangen viel.
nou heb ik er 24uur geleden één ontvangen. ik dacht tja, wat kunnen we hiermee op Security.nl, en moest gelijk denken aan een phishing hunt, waarbij het de bedoeling is dat de "vissen" de visser vangen. Evt zijn broeinest van phishing onder de loep te nemen, zodat we eens van wat dichter bij dan een nieuws artiekeltje zien hoe dit soort luitjes te werk gaan. (misschien ook leuk voor de minder geadvanceerde computer gebruikers om te volgen)
Dus mensen, 100 ogen zien meer dan 2 ogen kijk en huiver mee.
ik kan de gehele Source van het mailtje niet hier knippen & plakken daarom heb ik gekozen om dit te doen in pastebin.
ook het ik het "Delivered to:" met mijn Email eruit gelaten, uit privacy overwegingen.
hier is de link naar de source van het mailtje:
http://pastebin.com/p4XhmmVy
en dit is wat ik er even snel uitgehengelt heb:
"jaskercontrol@live.com"
User-Agent: Internet Messaging Program (IMP) H3 (4.2)
X-Originating-IP: 41.138.187.71 (ip is unallocated)
From: "ABN AMRO" <support@nl.abnamro.nl>
Ook is er een bijlage gevoegt van 1kb onder de naam "noname" deze zal ik even proberen veilig te evalueren, ook dit plaats ik zo snel mogelijk.
Ok mensen roept u maar..
Ook het mee kijken van Sirdice is gewenst, mocht u dit lezen.
zojuist zat ik eventjes m'n spambox door te spitten, om te zien of er nog wat domme vissers te vangen viel.
nou heb ik er 24uur geleden één ontvangen. ik dacht tja, wat kunnen we hiermee op Security.nl, en moest gelijk denken aan een phishing hunt, waarbij het de bedoeling is dat de "vissen" de visser vangen. Evt zijn broeinest van phishing onder de loep te nemen, zodat we eens van wat dichter bij dan een nieuws artiekeltje zien hoe dit soort luitjes te werk gaan. (misschien ook leuk voor de minder geadvanceerde computer gebruikers om te volgen)
Dus mensen, 100 ogen zien meer dan 2 ogen kijk en huiver mee.
ik kan de gehele Source van het mailtje niet hier knippen & plakken daarom heb ik gekozen om dit te doen in pastebin.
ook het ik het "Delivered to:" met mijn Email eruit gelaten, uit privacy overwegingen.
hier is de link naar de source van het mailtje:
http://pastebin.com/p4XhmmVy
en dit is wat ik er even snel uitgehengelt heb:
"jaskercontrol@live.com"
User-Agent: Internet Messaging Program (IMP) H3 (4.2)
X-Originating-IP: 41.138.187.71 (ip is unallocated)
From: "ABN AMRO" <support@nl.abnamro.nl>
Ook is er een bijlage gevoegt van 1kb onder de naam "noname" deze zal ik even proberen veilig te evalueren, ook dit plaats ik zo snel mogelijk.
Ok mensen roept u maar..
Ook het mee kijken van Sirdice is gewenst, mocht u dit lezen.
Reacties (22)
Het bijgevoegde gif-plaatje is een grijs blokje: http://pastehtml.com/view/cd5h9wzvb.html
Link werkt momenteel niet. Het IP is uit Lagos.
Voor blokkeren zijn interessant de url en de tekst.
Voor blokkeren zijn interessant de url en de tekst.
28-09-2012, 16:17 door
SirDice
Het lijkt er op dat het via https://webmail.sil.at/ is verstuurd. Een korte blik op die site leert dat ze waarschijnlijk Horde gebruiken. Het is natuurlijk mogelijk dat daar een bug is misbruikt om de email te versturen.
28-09-2012, 16:18 door
Bitwiper
IP Address ASN Network Country ISP RIR
41.138.187.71 37127 41.138.184.0/22 NG VISAFONE afrinic
Zie http://www.visafone.com.ng/, "...your passport to spam the world"41.138.187.71 37127 41.138.184.0/22 NG VISAFONE afrinic
Voor nl.abnamro.nl bestaat geen MX record.
https://webmail.sil.at/ bestaat. Het is slordig dat zij toestaan dat iemand een willekeurig afzenderadres opgeeft (anders dan @sil.at). Maar ik ken meer webmail providers die dat doen...
28-09-2012, 16:19 door
SirDice
Door Anoniem: Link werkt momenteel niet. Het IP is uit Lagos.
Link werkt op zich wel maar resulteert in een 404. Vermoedelijk is het spul al uit de lucht getrokken.
28-09-2012, 16:27 door
yobi
http://superiorci.com/wp-content/themes/twentyeleven/secure/abn-server.login.html
hmmm:
Name: superiorci.com
Address: 208.87.243.92
Een gedeelte whois van het ip-adres:
OrgName: Arena One, LLC
OrgId: AOL-19
Address: 19 W 21st St, Suite 602
City: New York
StateProv: NY
PostalCode: 10010
Country: US
RegDate: 2006-06-26
Updated: 2011-09-24
Ref: http://whois.arin.net/rest/org/AOL-19
Een gedeelte whois van het domeinnaam:
Domain Name.......... superiorci.com
Creation Date........ 2007-08-09
Registration Date.... 2007-08-09
Expiry Date.......... 2013-08-09
Organisation Name.... SUPERIOR CONTRACTING
Organisation Address. 6208 GENESEE STREET
Organisation Address.
Organisation Address.
Organisation Address. LANCASTER
Organisation Address. 14086
Organisation Address. NY
Organisation Address. UNITED STATES
Admin Name........... SUPERIOR CONTRACTING
Admin Address........ 6208 GENESEE STREET
Admin Address........
Admin Address........
Admin Address. LANCASTER
Admin Address........ 14086
Admin Address........ NY
Admin Address........ UNITED STATES
Admin Email.......... superiorci@yahoo.com
Admin Phone.......... +1.7166852037
Admin Fax............
Waarschijnlijk een gehackte server!
hmmm:
Name: superiorci.com
Address: 208.87.243.92
Een gedeelte whois van het ip-adres:
OrgName: Arena One, LLC
OrgId: AOL-19
Address: 19 W 21st St, Suite 602
City: New York
StateProv: NY
PostalCode: 10010
Country: US
RegDate: 2006-06-26
Updated: 2011-09-24
Ref: http://whois.arin.net/rest/org/AOL-19
Een gedeelte whois van het domeinnaam:
Domain Name.......... superiorci.com
Creation Date........ 2007-08-09
Registration Date.... 2007-08-09
Expiry Date.......... 2013-08-09
Organisation Name.... SUPERIOR CONTRACTING
Organisation Address. 6208 GENESEE STREET
Organisation Address.
Organisation Address.
Organisation Address. LANCASTER
Organisation Address. 14086
Organisation Address. NY
Organisation Address. UNITED STATES
Admin Name........... SUPERIOR CONTRACTING
Admin Address........ 6208 GENESEE STREET
Admin Address........
Admin Address........
Admin Address. LANCASTER
Admin Address........ 14086
Admin Address........ NY
Admin Address........ UNITED STATES
Admin Email.......... superiorci@yahoo.com
Admin Phone.......... +1.7166852037
Admin Fax............
Waarschijnlijk een gehackte server!
28-09-2012, 16:34 door
yobi
URL is niet meer actief (404) zie:
http://urlquery.net/report.php?id=203689
http://urlquery.net/report.php?id=203689
28-09-2012, 16:50 door
Security Scene Team
de Link werkt inderdaad niet meer helaas... wat er wel te constateren valt na een file&dir scan via acunetix dat er alleen wordpress bestaat op de server.
Screenshot:
http://postimage.org/image/6pbgex38p/
ook schijnt de site op de 1 of andere manier last te hebben van server path disclosure en sappige error messages. na al dit denk ik niet dat het nodig is om een XSS scan te doen(die zijn er toch wel), ik denk dat er een bepaald script is geinjecteerd in deze wordpress versie, en gebruikt is als phishing. de eigenaar heeft juist gehandelt, want het is ook al gemeld door andere gebruikers op pishtank en binnen 24u eruit is gehaalt.
wel is het raar dat er "gewoon" een @live.nl account is gebruikt. ik denk dat het KLPD er goed aan zou doen om het genoemde email adres te controleren en eventueel het account op te eisen. misschien vindje daar nog wat sappige informatie als politie zijnde. het zou mij niet verbazen als deze nogal domme visser waarschijnlijk op dat @live.nl zijn eigen IP adres gebruikt om in te loggen.. al was het maar 1x geweest hotmail logs liegen niet :)
iedergeval bedankt voor jullie hulp, ik denk dat dit topic met jullie hulp voor de minder bedeelde computer gebruikers
veel informatie bevat.
Edit:
Admin: zou het niet mogelijk zijn om een area te creeëren waar gebruikers dit soort logs kunnen posten en met elkaar te kijken hiernaar? want elke keer proberen die vissers wat nieuws, dat we dat bijhouden hier ofzo?
grtz.
Screenshot:
http://postimage.org/image/6pbgex38p/
ook schijnt de site op de 1 of andere manier last te hebben van server path disclosure en sappige error messages. na al dit denk ik niet dat het nodig is om een XSS scan te doen(die zijn er toch wel), ik denk dat er een bepaald script is geinjecteerd in deze wordpress versie, en gebruikt is als phishing. de eigenaar heeft juist gehandelt, want het is ook al gemeld door andere gebruikers op pishtank en binnen 24u eruit is gehaalt.
wel is het raar dat er "gewoon" een @live.nl account is gebruikt. ik denk dat het KLPD er goed aan zou doen om het genoemde email adres te controleren en eventueel het account op te eisen. misschien vindje daar nog wat sappige informatie als politie zijnde. het zou mij niet verbazen als deze nogal domme visser waarschijnlijk op dat @live.nl zijn eigen IP adres gebruikt om in te loggen.. al was het maar 1x geweest hotmail logs liegen niet :)
iedergeval bedankt voor jullie hulp, ik denk dat dit topic met jullie hulp voor de minder bedeelde computer gebruikers
veel informatie bevat.
Edit:
Admin: zou het niet mogelijk zijn om een area te creeëren waar gebruikers dit soort logs kunnen posten en met elkaar te kijken hiernaar? want elke keer proberen die vissers wat nieuws, dat we dat bijhouden hier ofzo?
grtz.
Door SirDice:
Link werkt op zich wel maar resulteert in een 404. Vermoedelijk is het spul al uit de lucht getrokken.
Door Anoniem: Link werkt momenteel niet. Het IP is uit Lagos.
Link werkt op zich wel maar resulteert in een 404. Vermoedelijk is het spul al uit de lucht getrokken.
Een 404 is een melding dat de link niet werkt. :)
We kunnen niet zeggen of er ooit wel iets was. Moeilijk doen over een gewoon phishing mailtje maakt e.e.a. wel verdacht. Social enginering, joe job in de hoop dat iemand het domein blacklist of "terug hackt".
28-09-2012, 17:56 door
S-q.
@Security Scene Team en anderen;
Leuk!
Mag voor mij vaker; + voor jullie.
....het zou mij niet verbazen als deze nogal domme visser waarschijnlijk op dat @live.nl zijn eigen IP adres gebruikt om in te loggen.. Dat zou inderdaad lachen zijn.
Voor mij: E-mail notificatie van verdere reacties. (Voor het geval die nog komen)
MvG
minder bedeelde computer gebruiker. :-)
Leuk!
Mag voor mij vaker; + voor jullie.
....het zou mij niet verbazen als deze nogal domme visser waarschijnlijk op dat @live.nl zijn eigen IP adres gebruikt om in te loggen.. Dat zou inderdaad lachen zijn.
Voor mij: E-mail notificatie van verdere reacties. (Voor het geval die nog komen)
MvG
minder bedeelde computer gebruiker. :-)
02-10-2012, 10:35 door
Security Scene Team
de aanpak van phishing is ook iets wat jullie zelf kunnen, dat is vooral de boodschap van deze topic dacht ik. spit je spambox eens door, en meld je bevindingen, er zijn zeker mensen die graag met je mee kijken.
Bedankt, voor de leuke reacties. mocht ik weer wat nederlandse phishing mails hebben dan meld ik dit direct.
Bedankt, voor de leuke reacties. mocht ik weer wat nederlandse phishing mails hebben dan meld ik dit direct.
09-10-2012, 11:39 door
SirDice
Nog een voor de liefhebbers (voor zolang 'ie nog online is).
Link verwijst naar: http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
Perfecte kopie van het ABN Amro inlog scherm.
Geachte klant,
Voor u als klant is er overigens weinig veranderd. Echter achter de schermen hebben
wij een totaal nieuwe internetapplicatie geprogrammeerd die aan de hedenhaagse
veiligheideisen voldoet conforn de Europeese richtlijnen betreft het
betalingsverkeer. De browser voldoet niet aan de systeemeisen van ABN AMRO Internet
Bankieren.
Bij een verbetering (update) van ons online veiligheidssysteem hebben wij
geconstateerd dat uw rekening een foutmelding geeft met als code ASV-317.
Bekijk het overzicht van de besturingssysteem en browsers die ABN AMRO adviseert te
gebruiken. Zie onderstaande link.
Vul het formulier in en log in op uw account. Zodra u bent ingelogd, kunnen we het
proces starten en in behandeling nemen. U krijgt dan binnen 7 dagen een
geautomatieseerde bevestiging per e-mail.
>> Formulier/ontheffen
<<
2012
Copyright
©
ABN
Amro
N.V
Voor u als klant is er overigens weinig veranderd. Echter achter de schermen hebben
wij een totaal nieuwe internetapplicatie geprogrammeerd die aan de hedenhaagse
veiligheideisen voldoet conforn de Europeese richtlijnen betreft het
betalingsverkeer. De browser voldoet niet aan de systeemeisen van ABN AMRO Internet
Bankieren.
Bij een verbetering (update) van ons online veiligheidssysteem hebben wij
geconstateerd dat uw rekening een foutmelding geeft met als code ASV-317.
Bekijk het overzicht van de besturingssysteem en browsers die ABN AMRO adviseert te
gebruiken. Zie onderstaande link.
Vul het formulier in en log in op uw account. Zodra u bent ingelogd, kunnen we het
proces starten en in behandeling nemen. U krijgt dan binnen 7 dagen een
geautomatieseerde bevestiging per e-mail.
>> Formulier/ontheffen
<<
2012
Copyright
©
ABN
Amro
N.V
Link verwijst naar: http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
Perfecte kopie van het ABN Amro inlog scherm.
09-10-2012, 11:40 door
SirDice
Interessant:
Domain Name: ABN-NLAMROONLINE.COM
Registrant:
N/A
Hans Crews Jr (info1info@hotmail.com)
145 Fairview Ave
Teaneck
Noord-Holland,1161BW
NL
Tel. +31.31625147152
Creation Date: 08-Oct-2012
Expiration Date: 08-Oct-2013
Gegevens worden gepost naar: http://www.whiz-mail.cc/forms/tradad12/abn78
Domain Name: ABN-NLAMROONLINE.COM
Registrant:
N/A
Hans Crews Jr (info1info@hotmail.com)
145 Fairview Ave
Teaneck
Noord-Holland,1161BW
NL
Tel. +31.31625147152
Creation Date: 08-Oct-2012
Expiration Date: 08-Oct-2013
Gegevens worden gepost naar: http://www.whiz-mail.cc/forms/tradad12/abn78
09-10-2012, 11:54 door
SirDice
Voor de gein maar eens een email gestuurd naar dat hotmail adres. Ben benieuwd of er iemand reageert ^_^
09-10-2012, 12:09 door
S-q.
@SirDice;
Laat maar horen dan!
Maar geef ook eens de tekst die je hem hebt gestuurd?
(Nu maar hopen dat er door de geadresseerde niet toevallig meegelezen wordt hier;-))
Laat maar horen dan!
Maar geef ook eens de tekst die je hem hebt gestuurd?
(Nu maar hopen dat er door de geadresseerde niet toevallig meegelezen wordt hier;-))
09-10-2012, 13:29 door
SirDice
Redelijk standaard abuse emailtje:
Hi,
A host (101.99.69.42) on your network is being used in a phishing
expedition. They are trying to dupe ABN AMRO (Dutch bank) customers into
divulging their login credentials.
Please take this host off-line a.s.a.p.
http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
Orignal: https://www.abnamro.nl/nl/logon/identification.html
En die pipo's heb ik dit gestuurd:
You can run but you can't hide.
Domain Name: ABN-NLAMROONLINE.COM
Registrant:
N/A
Hans Crews Jr (info1info@hotmail.com)
145 Fairview Ave
Teaneck
Noord-Holland,1161BW
NL
Tel. +31.31625147152
Creation Date: 08-Oct-2012
Expiration Date: 08-Oct-2013
And I took down your crappy site too....
http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
I will find you......
Hi,
A host (101.99.69.42) on your network is being used in a phishing
expedition. They are trying to dupe ABN AMRO (Dutch bank) customers into
divulging their login credentials.
Please take this host off-line a.s.a.p.
http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
Orignal: https://www.abnamro.nl/nl/logon/identification.html
En die pipo's heb ik dit gestuurd:
You can run but you can't hide.
Domain Name: ABN-NLAMROONLINE.COM
Registrant:
N/A
Hans Crews Jr (info1info@hotmail.com)
145 Fairview Ave
Teaneck
Noord-Holland,1161BW
NL
Tel. +31.31625147152
Creation Date: 08-Oct-2012
Expiration Date: 08-Oct-2013
And I took down your crappy site too....
http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
I will find you......
09-10-2012, 15:17 door
S-q.
@SirDice;
Dank je.
Gezien het telefoonnummer, zal het adres ook wel niet kloppen!
Hoewel het adres op zich wel lijkt te bestaan.
Het lijkt mij een gejatte identiteit te zijn.
Dank je.
Gezien het telefoonnummer, zal het adres ook wel niet kloppen!
Hoewel het adres op zich wel lijkt te bestaan.
Het lijkt mij een gejatte identiteit te zijn.
09-10-2012, 16:14 door
Security Scene Team
Door SirDice: Redelijk standaard abuse emailtje:
Hi,
A host (101.99.69.42) on your network is being used in a phishing
expedition. They are trying to dupe ABN AMRO (Dutch bank) customers into
divulging their login credentials.
Please take this host off-line a.s.a.p.
http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
Orignal: https://www.abnamro.nl/nl/logon/identification.html
En die pipo's heb ik dit gestuurd:
You can run but you can't hide.
Domain Name: ABN-NLAMROONLINE.COM
Registrant:
N/A
Hans Crews Jr (info1info@hotmail.com)
145 Fairview Ave
Teaneck
Noord-Holland,1161BW
NL
Tel. +31.31625147152
Creation Date: 08-Oct-2012
Expiration Date: 08-Oct-2013
And I took down your crappy site too....
http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
I will find you......
Hi,
A host (101.99.69.42) on your network is being used in a phishing
expedition. They are trying to dupe ABN AMRO (Dutch bank) customers into
divulging their login credentials.
Please take this host off-line a.s.a.p.
http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
Orignal: https://www.abnamro.nl/nl/logon/identification.html
You can run but you can't hide.
Domain Name: ABN-NLAMROONLINE.COM
Registrant:
N/A
Hans Crews Jr (info1info@hotmail.com)
145 Fairview Ave
Teaneck
Noord-Holland,1161BW
NL
Tel. +31.31625147152
Creation Date: 08-Oct-2012
Expiration Date: 08-Oct-2013
And I took down your crappy site too....
http://abn-nlamroonline.com/ABN%20Upgrade%20Page.html
I will find you......
je kan heel simpel je adres gegevens 'faken' buitenlandse hosters zullen dit niet checken. iniedergeval niet de offshore ones.
maar idd leuk gedaan SirDice :) goed om te zien dat deze topic toch iets teweeg heeft gebracht.
09-10-2012, 16:47 door
SirDice
Door Security Scene Team: je kan heel simpel je adres gegevens 'faken' buitenlandse hosters zullen dit niet checken. iniedergeval niet de offshore ones.
Vaak worden die domeinen betaalt met gestolen creditcards. "Follow the money" werkt dan ook niet echt meer :(goed om te zien dat deze topic toch iets teweeg heeft gebracht.
Ja, ach. Ik doe dat soort dingen eigenlijk altijd. Maar klaarblijkelijk is er interesse/behoefte om zoiets te zien. Dus dan posten we het ook maar hier. Kleine moeite, groot plezier ;-)
09-10-2012, 23:59 door
Security Scene Team
Door SirDice:
Door Security Scene Team: je kan heel simpel je adres gegevens 'faken' buitenlandse hosters zullen dit niet checken. iniedergeval niet de offshore ones.
Vaak worden die domeinen betaalt met gestolen creditcards. "Follow the money" werkt dan ook niet echt meer :(goed om te zien dat deze topic toch iets teweeg heeft gebracht.
Ja, ach. Ik doe dat soort dingen eigenlijk altijd. Maar klaarblijkelijk is er interesse/behoefte om zoiets te zien. Dus dan posten we het ook maar hier. Kleine moeite, groot plezier ;-)iedere vis zegt toch tegen elkaar kijk uit voor die dobber? netzoals mensen elkaar waarschuwen via lichtsignalen op de snelweg dat er politie controle verder op is.
p.s. inderdaad een groot plezier :) heb me dik vermaakt.. more to come ;)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
