Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
http://subscriber.e-mark.nl/link794V181Q25543V65Q853V51351086Q527645V1274848565Q1.html
18-10-2014, 14:14 door Anoniem, 2 reacties
Mijn buurman kreeg mail van "PostNL.nl waarin gewaarschuwd werd voor phishing. Voor meer info werd hij uitgenodigd te klikken op "hier" (= http://subscriber.e-mark.nl/link794V181Q25543V65Q853V51351086Q527645V1274848565Q1.html). Hij had geklikt en vertelde me dat hij bij PostNL.nl/ klantenservice uitkwam. Ik heb dat nagedaan op mijn Android tablet (aannemend dat een eventueel virus op Windows gericht is). Ik kwam inderdaad uit bij PostNL, maar dus niet nadat ik langs http://subscriber.e-mark.nl/link gegaan was! Fishy business! En zeer geraffineerd, denk ik. Of ben ik te wantrouwig?
Reacties (2)
18-10-2014, 15:10 door
mcb
E-mark is een bedrijf gespecialiseerd in marketing via massa mailings. http://www.e-mark.nl/nl/people/.
Dat PostNL hen gebruikt is op zich geen probleem, maar dat moeten ze doen bij bij reclame mails en niet bij waarschuwingen.
Iedere waarschuwingsmail (met welk onderwerk dan ook) met links naar andere partijen zijn bij voorbaat verdacht.
Inderdaad niet slim van PostNL om het op deze manier te doen.
Zo weten ze (het zijn immers marketeers) wie op hun site komt.
Het is alleen niet duidelijk of dit alleen een PostNL id is (voor de phishing nieuws) of dat ook het emailadres van jouw buurman er ook in verwerkt is.
Dat PostNL hen gebruikt is op zich geen probleem, maar dat moeten ze doen bij bij reclame mails en niet bij waarschuwingen.
Iedere waarschuwingsmail (met welk onderwerk dan ook) met links naar andere partijen zijn bij voorbaat verdacht.
Inderdaad niet slim van PostNL om het op deze manier te doen.
klikken op "hier" (= http://subscriber.e-mark.nl/link794V181Q25543V65Q853V51351086Q527645V1274848565Q1.html)
Wat betreft deze link. de random tekst aan het einde van de url is een identifier.Zo weten ze (het zijn immers marketeers) wie op hun site komt.
Het is alleen niet duidelijk of dit alleen een PostNL id is (voor de phishing nieuws) of dat ook het emailadres van jouw buurman er ook in verwerkt is.
Jullie zijn me net voor, ik heb precies dezelfde mail ontvangen en wilde iets vergelijkbaars gaan posten...
Vooraf: niet kwaadaardig maar wel ongelofelijk STOM.
Waarom? Omdat, precies zoals de TS aangeeft, alle links in de e-mail wijzen naar een domain dat ogenschijnlijk niets met PostNL te maken heeft.
Ik probeer gebruikers "security-aware" te maken door ze erop te wijzen goed te letten op waar links naar wijzen voordat je erop klikt. Omdat in dit geval alle links niet naar een duidelijk te onderscheiden *.postnl.nl website wijzen is het enige juiste dat gebruikers met dergelijke mails zouden moeten doen:
1) Niet op links klikken;
2) De feitelijke verzender (e-mark) aanmelden als spammer en phisher;
3) De mail verder als waardeloos beschouwen en weggooien.
Details voor de techneuten (mogelijk naar mijn e-mail adres herleidbare gegevens heb ik tussen accolades gezet):
In de mail zelf komen de volgend URL's voor:
Als ik op de middelste link klik, gebeurt het volgende (relevante fragmenten uit Wireshark):
De website www.postn.nl wordt dus gehost bij cloudapp.net.
E-mail headers:
Het enige dat ik zeker weet over de afzender in een e-mail is dat mijn ISP het ontvangen heeft vanaf IP-adres 82.94.210.180.
Uit Whois info:
Het gaat dus, toevallig (ik ben dat ook), om een klant van xs4all. Mocht je nog twijfelen, de kans dat het om een spammer gaat wordt daarmee ook kleiner. Maar dat wil niet zeggen dat dit soort mails niet tot spam kunnen leiden...
Ik gebruik verschillende e-mail aliasen, en de mail is verzonden naar een e-mail alias van mij dat ik eerder dit jaar op een PostNL website heb ikgevuld en dat al eerder door PostNL is gebruikt voor het verzenden van min of meer relevante e-mails.
Echter, PostNL maakt gebruik van wisselende partijen voor het verzenden van e-mails naar mij. Zo heb ik het afgelopen jaar e-mails verzonden namens PostNL ontvangen via:
PostNL heeft vrolijk mijn e-mail adres (alias in dit geval) aan al die partijen uitgedeeld, en "goed gebruik" voor dat soort partijen is om zo'n e-mail adres dan in hun database op te slaan. In elk geval zodat ik ooit nog kan aangeven te willen worden uitgeschreven van hun mails. Maar je kunt ook hele andere leuke dingen doen met een lange lijst e-mail adressen, die zijn namelijk geld waard!
De kans dat ik morgen een bijna identieke mail, echter met een link naar een malwaresite krijg, is een stuk groter dan nul vrees ik...
Vooraf: niet kwaadaardig maar wel ongelofelijk STOM.
Waarom? Omdat, precies zoals de TS aangeeft, alle links in de e-mail wijzen naar een domain dat ogenschijnlijk niets met PostNL te maken heeft.
Ik probeer gebruikers "security-aware" te maken door ze erop te wijzen goed te letten op waar links naar wijzen voordat je erop klikt. Omdat in dit geval alle links niet naar een duidelijk te onderscheiden *.postnl.nl website wijzen is het enige juiste dat gebruikers met dergelijke mails zouden moeten doen:
1) Niet op links klikken;
2) De feitelijke verzender (e-mark) aanmelden als spammer en phisher;
3) De mail verder als waardeloos beschouwen en weggooien.
Details voor de techneuten (mogelijk naar mijn e-mail adres herleidbare gegevens heb ik tussen accolades gezet):
In de mail zelf komen de volgend URL's voor:
Als u deze e-mail niet goed kunt lezen, klik dan hier voor de webversie.
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
Verdere uitleg kunt u lezen op deze pagina.
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
Afmelden
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
Verdere uitleg kunt u lezen op deze pagina.
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
Afmelden
-> http://subscriber.e-mark.nl/link{alfanumerieke_reeks}.html
Als ik op de middelste link klik, gebeurt het volgende (relevante fragmenten uit Wireshark):
DNS Standard query 0x2493 A subscriber.e-mark.nl
DNS Standard query response 0x2493 A 89.234.18.152
HTTP GET /link{alfanumerieke_reeks}.html HTTP/1.1
Host: subscriber.e-mark.nl\r\n
HTTP HTTP/1.1 302 Found
location: http://www.postnl.nl/klantenservice?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails\r\n
DNS Standard query 0x3fde A www.postnl.nl
DNS Standard query response 0x3fde CNAME postnl-af-tridion05.cloudapp.net A 23.97.135.13
HTTP GET /klantenservice?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails HTTP/1.1
Host: www.postnl.nl\r\n
HTTP HTTP/1.1 301 Moved Permanently (text/html)
Location: /klantenservice/?utm_source=emark&utm_medium=email&utm_campaign=
Waarschuwing+voor+besmette+e-mails\r\n
HTTP GET /klantenservice/?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails HTTP/1.1
Host: www.postnl.nl\r\n
HTTP HTTP/1.1 200 OK (text/html)
[...]
<title>Klantenservice | PostNL</title>\n
[...]
DNS Standard query response 0x2493 A 89.234.18.152
HTTP GET /link{alfanumerieke_reeks}.html HTTP/1.1
Host: subscriber.e-mark.nl\r\n
HTTP HTTP/1.1 302 Found
location: http://www.postnl.nl/klantenservice?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails\r\n
DNS Standard query 0x3fde A www.postnl.nl
DNS Standard query response 0x3fde CNAME postnl-af-tridion05.cloudapp.net A 23.97.135.13
HTTP GET /klantenservice?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails HTTP/1.1
Host: www.postnl.nl\r\n
HTTP HTTP/1.1 301 Moved Permanently (text/html)
Location: /klantenservice/?utm_source=emark&utm_medium=email&utm_campaign=
Waarschuwing+voor+besmette+e-mails\r\n
HTTP GET /klantenservice/?utm_source=emark&utm_medium=email&
utm_campaign=Waarschuwing+voor+besmette+e-mails HTTP/1.1
Host: www.postnl.nl\r\n
HTTP HTTP/1.1 200 OK (text/html)
[...]
<title>Klantenservice | PostNL</title>\n
[...]
De website www.postn.nl wordt dus gehost bij cloudapp.net.
E-mail headers:
Return-Path: <bounce-{nummer}@dm.e-mark.nl>
Received: from m6.dm.e-mark.nl (m6.dm.e-mark.nl [82.94.210.180])
by mxdrop150.xs4all.nl (8.13.8/8.13.8) with ESMTP id s9HLdnmH001612
for <{mijn_email}@xs4all.nl>; Fri, 17 Oct 2014 23:39:50 +0200 (CEST)
(envelope-from bounce-794-853-276348F361949764@dm.e-mark.nl)
Received: from localhost.localdomain (localhost [127.0.0.1])
by m6.dm.e-mark.nl (Postfix) with ESMTP id 31CA029E84
for <{mijn_email}xs4all.nl>; Fri, 17 Oct 2014 23:39:49 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=e-mark.nl; h=to:from:reply-to:subject:date:
mime-version:content-type:list-unsubscribe; s=dm; bh={code}; b={code}
To: {mijn_email}@xs4all.nl
From: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>
Reply-To: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>
Subject: Waarschuwing voor besmette e-mails
Date: Fri, 17 Oct 2014 23:39:46 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="emarkb56936c630cd7b24d74babeba022fe17"
List-Unsubscribe: <http://subscriber.e-mark.nl/index.php?type=unsubscribe&
db=794V181&mailing=853V51351086&user={nummer}>,
<mailto:unsubscribe-{nummer}@dm.e-mark.nl>
Message-Id: <20141017213949.31CA029E84@m6.dm.e-mark.nl>
Envelope-To: {mijn_email}@xs4all.nl
Received: from m6.dm.e-mark.nl (m6.dm.e-mark.nl [82.94.210.180])
by mxdrop150.xs4all.nl (8.13.8/8.13.8) with ESMTP id s9HLdnmH001612
for <{mijn_email}@xs4all.nl>; Fri, 17 Oct 2014 23:39:50 +0200 (CEST)
(envelope-from bounce-794-853-276348F361949764@dm.e-mark.nl)
Received: from localhost.localdomain (localhost [127.0.0.1])
by m6.dm.e-mark.nl (Postfix) with ESMTP id 31CA029E84
for <{mijn_email}xs4all.nl>; Fri, 17 Oct 2014 23:39:49 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; d=e-mark.nl; h=to:from:reply-to:subject:date:
mime-version:content-type:list-unsubscribe; s=dm; bh={code}; b={code}
To: {mijn_email}@xs4all.nl
From: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>
Reply-To: PostNL MijnPakket <postnlmijnpakket@info.postnl.nl>
Subject: Waarschuwing voor besmette e-mails
Date: Fri, 17 Oct 2014 23:39:46 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="emarkb56936c630cd7b24d74babeba022fe17"
List-Unsubscribe: <http://subscriber.e-mark.nl/index.php?type=unsubscribe&
db=794V181&mailing=853V51351086&user={nummer}>,
<mailto:unsubscribe-{nummer}@dm.e-mark.nl>
Message-Id: <20141017213949.31CA029E84@m6.dm.e-mark.nl>
Envelope-To: {mijn_email}@xs4all.nl
Het enige dat ik zeker weet over de afzender in een e-mail is dat mijn ISP het ontvangen heeft vanaf IP-adres 82.94.210.180.
Uit Whois info:
% Abuse contact for '82.94.210.0 - 82.94.210.255' is 'abuse@xs4all.nl'
inetnum: 82.94.210.0 - 82.94.210.255
netname: XS4ALL-CUST-686897
descr: Gidpro
country: NL
route: 82.92.0.0/14
descr: XS4ALL networking
origin: AS3265
inetnum: 82.94.210.0 - 82.94.210.255
netname: XS4ALL-CUST-686897
descr: Gidpro
country: NL
route: 82.92.0.0/14
descr: XS4ALL networking
origin: AS3265
Het gaat dus, toevallig (ik ben dat ook), om een klant van xs4all. Mocht je nog twijfelen, de kans dat het om een spammer gaat wordt daarmee ook kleiner. Maar dat wil niet zeggen dat dit soort mails niet tot spam kunnen leiden...
Ik gebruik verschillende e-mail aliasen, en de mail is verzonden naar een e-mail alias van mij dat ik eerder dit jaar op een PostNL website heb ikgevuld en dat al eerder door PostNL is gebruikt voor het verzenden van min of meer relevante e-mails.
Echter, PostNL maakt gebruik van wisselende partijen voor het verzenden van e-mails naar mij. Zo heb ik het afgelopen jaar e-mails verzonden namens PostNL ontvangen via:
mail1.bemta14.messagelabs.com [193.109.254.111]
mailzgbach.mail.dmdelivery.com [91.197.72.138]
m3.dm.e-mark.nl [89.234.18.148] (zelfde bedrijf, echter IP-adres bij een ISP in Texas)
btsms.net [62.216.224.242]
tntinfo.eu [62.216.224.242]
mailzgbach.mail.dmdelivery.com [91.197.72.138]
m3.dm.e-mark.nl [89.234.18.148] (zelfde bedrijf, echter IP-adres bij een ISP in Texas)
btsms.net [62.216.224.242]
tntinfo.eu [62.216.224.242]
PostNL heeft vrolijk mijn e-mail adres (alias in dit geval) aan al die partijen uitgedeeld, en "goed gebruik" voor dat soort partijen is om zo'n e-mail adres dan in hun database op te slaan. In elk geval zodat ik ooit nog kan aangeven te willen worden uitgeschreven van hun mails. Maar je kunt ook hele andere leuke dingen doen met een lange lijst e-mail adressen, die zijn namelijk geld waard!
De kans dat ik morgen een bijna identieke mail, echter met een link naar een malwaresite krijg, is een stuk groter dan nul vrees ik...
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
