Computerbeveiliging - Hoe je bad guys buiten de deur houdt

KPN phishing: valse KPN aanmaning.

21-07-2014, 22:07 door Anoniem, 10 reacties
Valse KPN aanmaning.

De payload link gaat naar atmst punt net.
http://www.spamhaus.org/rokso/evidence/ROK9348/evgeny-medvednikov/spam-sample-2010-06

MIME text part:

Geachte heer/mevrouw,
Bedrijf : KPN
Adres : Maanplein 55
Postcode + Plaats (Hoofdkantoor) : 2516 CK Den Haag
Factuurnummer: 0014522161
Wij hebben u reeds meerdere malen verzocht om deze factuur te voldoen.=
=20
Tot op heden hebben wij geen enkele reactie van u ontvangen.
[Factuurnummer: 0014522161] [Datum: 14-01-2014] [Ingebrekestelling]
Wij stellen u thans nog eenmaal in de gelegenheid het verschuldigde be=
drag van =E2=82=AC52,50 binnen drie dagen op het volgende manier te vo=
ldoen:

Met de 3v online krediet kunt u online op onze website de betaling vol=
doen. U dient hieronder te klikken op " 3V Voucher kopen ".
3V Voucher kopen
=20
Let op: Nadat uw de 3V tegoed (prepaid credit) heeft aangeschaft dient=
u de 19 cijferige code hieronder te activeren om de betaling te voldo=
en.
Klik hieronder op activeer 3V Voucher,
=20
Activeer 3V Voucher

Indien we het volledige bedrag niet binnen de door ons gestelde termij=
n van u op onze manier ontvangen, dan zien wij ons genoodzaakt de vord=
ering uit handen te geven aan onze gerechtsdeurwaarders.=20
Een incassobureau kan geen beslag leggen op uw goederen, maar een deur=
waarder kan dit wel. Goederen kunnen spullen zijn, maar bijvoorbeeld o=
ok uw loon, uitkering.=20
Om beslag te leggen heeft een deurwaarder wel eerst een vonnis nodig v=
an de rechter.=20
Op sommige goederen mag geen beslag worden gelegd. Dit zijn bijvoorbee=
ld uw bed, eten en drinken, en de kleren die u draagt.=20
Alle hieruit voortkomende kosten zullen voor uw rekening komen. Tevens=
maken wij in dat geval aanspraak op de rente vanaf de vervaldatum.

Hoogachtend,


Reinier Koerour
Reacties (10)
22-07-2014, 09:56 door Anoniem
Rekeningen betaal je niet met een "voucher," ik zie de toegevoegde (nieuws)waarde van dit bericht dan ook niet.

Maar bedankt voor de moeite ;)
22-07-2014, 11:51 door Anoniem
"Rekeningen betaal je niet met een "voucher," ik zie de toegevoegde (nieuws)waarde van dit bericht dan ook niet."

En omdat jij dat weet, denk je dat niemand slachtoffer wordt ?

"Maar bedankt voor de moeite ;)"

De informatie is nuttig, bijvoorbeeld zodat firewall beheerders verkeer naar het genoemde domein kunnen blokkeren.
22-07-2014, 12:04 door Anoniem
heb je KPN ingelicht (gebeld met de helpdesk of een mail gestuurd) zodat ze kunnen kijken of deze mail er uit gefilterd kunnen worden ?
22-07-2014, 13:59 door Anoniem
Door Anoniem: "Rekeningen betaal je niet met een "voucher," ik zie de toegevoegde (nieuws)waarde van dit bericht dan ook niet."

En omdat jij dat weet, denk je dat niemand slachtoffer wordt ?

"Maar bedankt voor de moeite ;)"

De informatie is nuttig, bijvoorbeeld zodat firewall beheerders verkeer naar het genoemde domein kunnen blokkeren.
De gemiddelde "firewall-beheerder" (lol, of bedoel je een eindgebruiker?) gebruikt net even een wat andere strategie, spamhaus bijvoorbeeld. Zeker in zakelijk opzicht is dit een mail van niets trouwens, alsof een accountmanager hier in trapt. En alsof de eindgebruiker die hier wel in gaat trappen actief security.nl bezoekt....

Dit soort spam kun je beter doorsturen naar KPN zelf / de fraudehelpdesk dan het hier posten, ik sluit me dan ook aan bij anon 12:04, al helemaal omdat er geen headers bij staan.
STUUR HEADERS ALTIJD MEE, wel even je IP & mailadres eruit vissen natuurlijk.

Tenzij het werkelijk iets is wat nieuwe vectoren gebruikt natuurlijk, dan zie ik het wel graag verschijnen.
Maar dit? Nee, ik zie nog steeds het nut niet... (sorry)
22-07-2014, 14:51 door Anoniem
"Dit soort spam kun je beter doorsturen naar KPN zelf / de fraudehelpdesk dan het hier posten, ik sluit me dan ook aan bij anon 12:04, al helemaal omdat er geen headers bij staan."

Welke relevantie hebben de headers ? Wil je een abuse klacht gaan indienen ? Blokkeren van de traffic lijkt mij meer dan genoeg ;)

"Tenzij het werkelijk iets is wat nieuwe vectoren gebruikt natuurlijk, dan zie ik het wel graag verschijnen.
Maar dit? Nee, ik zie nog steeds het nut niet... (sorry)"

Voor mij is zoiets bijvoorbeeld interessant, omdat je vervolgens kunt kijken in welk netwerk zo'n website hangt, en wat binnen die range (en andere ranges binnen het zelfde AS) allemaal nog meer wordt gehost, zodat je kan overwegen om verkeer naar zo'n netwerk te blokkeren en/of te monitoren.

inetnum: 89.111.21.0 - 89.111.21.255
netname: DEAC-COLOCATION-RIGA-NET
descr: Tools United Ltd
country: LV
admin-c: DH766-RIPE
tech-c: DH766-RIPE
status: ASSIGNED PA
mnt-by: DEAC-MNT
changed: zvitins@deac.lv 20130107
source: RIPE

Indien je op deze manier verbindingen naar ''bad internet neighbourhoods'' in de gaten houdt, dan kom je allerlij zaken op het spoor die niet wordt gedetecteerd door je virusscanner (en waar spamhaus je evenmin tegen beschermt).

Voor dit soort zaken houdt ik een lijst bij met dergelijke netwerken (inmiddels al enkele duizenden subnets). Misschien dat je mijn insteek nu wat meer snapt ;)
23-07-2014, 01:46 door Anoniem
Headers hebben weinig zin. Spammers gebruiken ontelbaar veel IP adressen.

Content is doorgaans voorspelbaarder/stabieler. Payload uri's zijn ook handig om te weten.

Het ging mij er vooral om dat gebruikers en beheerders de berichten kunnen herkennen. Over soortgelijke phishing maar dan met CJIB als onderwerp is al eerder bericht op deze site. Daar ging het ook om "3V vouchers".

Ik heb KPN niet ingelicht. Zij kunnen weinig doen om bezorging te voorkomen, het gaat niet door hun servers. Het is alleen hun naam die wordt misbruikt voor deze oplichtingsmail. Ze zouden wel een waarschuwing kunnen plaatsen, maar daar hebben ze deze posting niet voor nodig.
23-07-2014, 11:14 door Vandy
Door Anoniem 22-07 14:51:
Voor mij is zoiets bijvoorbeeld interessant, omdat je vervolgens kunt kijken in welk netwerk zo'n website hangt, en wat binnen die range (en andere ranges binnen het zelfde AS) allemaal nog meer wordt gehost, zodat je kan overwegen om verkeer naar zo'n netwerk te blokkeren en/of te monitoren.

inetnum: 89.111.21.0 - 89.111.21.255
netname: DEAC-COLOCATION-RIGA-NET
descr: Tools United Ltd
country: LV
admin-c: DH766-RIPE
tech-c: DH766-RIPE
status: ASSIGNED PA
mnt-by: DEAC-MNT
changed: zvitins@deac.lv 20130107
source: RIPE

Indien je op deze manier verbindingen naar ''bad internet neighbourhoods'' in de gaten houdt, dan kom je allerlij zaken op het spoor die niet wordt gedetecteerd door je virusscanner (en waar spamhaus je evenmin tegen beschermt).

Voor dit soort zaken houdt ik een lijst bij met dergelijke netwerken (inmiddels al enkele duizenden subnets). Misschien dat je mijn insteek nu wat meer snapt ;)
Is jouw lijst met "bad neighbourhoods" completer dan Badhosts? (http://www.hostsfile.org/hosts.html)

Zo ja, misschien een ideetje om 'm te delen?
25-07-2014, 20:47 door Anoniem
in België krijgen wij die ook en meermaals per maand
27-07-2014, 09:28 door Briolet
Door Anoniem: Ik heb KPN niet ingelicht. Zij kunnen weinig doen om bezorging te voorkomen, het gaat niet door hun servers.

Dat zij niets kunnen doen is niet waar. Veel mailservers raadplegen blacklists voordat ze mail doorsturen. KPN zou moeite kunnen doen om de afzender, of zelfs het hele domein, op diverse blacklists te krijgen.
27-07-2014, 11:45 door Anoniem
Door Briolet:
Door Anoniem: Ik heb KPN niet ingelicht. Zij kunnen weinig doen om bezorging te voorkomen, het gaat niet door hun servers.

Dat zij niets kunnen doen is niet waar. Veel mailservers raadplegen blacklists voordat ze mail doorsturen. KPN zou moeite kunnen doen om de afzender, of zelfs het hele domein, op diverse blacklists te krijgen.

Het payload domein staat al op een aantal URI blacklists. Een ROKSO spammer zal vrijwel zeker zijn IP reeks op een IP blacklist terug kunnen vinden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.