2014-11-22 22:04 door Anoniem: Het bericht met de headers wat getoond werd is een bericht van 4 November, de ransomware is van 21 november => het waren voorbeeld headers.
Zo, val ik even door de mand... Zwak excuus natuurlijk, ik had een afspraak en wilde de vraag van Picasa3 nog even snel beantwoorden. In mijn enthousiasme om uit te leggen dat slechts één header relevante informatie bevat over de (mogelijke) bron van een e-mail, ben ik eraan voorbij gegaan dat die header, naast een <source> IP-adres, een tweede heel belangrijk item bevat: de datum en tijd van ontvangst. D.w.z. waarop die laatste mailserver (d.w.z. headers in "chronologische" volgorde, van onder naar boven) de mail vanaf dat IP-adres ontvangen heeft. Sterker, in dit geval heb ik geheel niet opgemerkt dat deze mail al op 4 nov. verzonden was. Slordig van mij, sorry daarvoor! Haastige spoed...
2014-11-22 22:04 door Anoniem: Als iemand eens de headers van een bericht zou posten met de ransomware van gisteren met deze headers dan is het een ander verhaal.
Die zou ik ook wel eens willen zien. De volgende zaken zijn interessant:
(1) Hebben uitsluitend bol.com klanten deze ransomware mails ontvangen? Zo ja dan zou dat een sterke aanwijzing zijn dat de aanvallers toegang hebben gehad tot de klantendatabase van bol.com;
(2) Volgens Sledge Hammer (2014-11-22 06:39) heeft bol.com SPF informatie opgenomen in DNS. Interessant is wat Anoniem (2014-11-22 12:03) opmerkt:
"Tja met een ~all aan het eind gaat em dat nie worden.".
Even zelf checken (achter > staan steeds de commando's die ik invoerde en ik heb een deel van de output weggelaten). Eerst de "authoritative name server" van bol.com vaststellen:
C:\>nslookup -debug
[...]
> bol.com
[...]
primary name server = pro-dns-auth-001.bol.com
[...]
> exit
Dan, zonder al die debug output, SPF records opzoeken (met een aantal te lange regels handmatig "omgeklapt"):
C:\>nslookup -querytpe=txt bol.com pro-dns-auth-001.bol.com
Server: pro-dns-auth-001.bol.com
Address: 185.14.168.221
bol.com text = "v=spf1 mx a:mail.bol.com a:pro-mail-smtp-001.bol.com
a:pro-mail-smtp-002.bol.com a:phoenix.kiala.com include:outlook.com
ip4:62.197.141.0/24 ip4:171.33.133.57/29 ip4:185.14.168.192/27
ip4:185.14.169.192/27 ~all"
bol.com text = "MS=ms69858635"
bol.com text = "yI4CjFremeRILZz0hq69qQ+Peif++nUh+rUcU+2rI5whLjvSEB
wa0uVrIXHve5DaiZNR4IJCmg9HoOaL8G7vEQ=="
bol.com nameserver = pro-dns-auth-002.bol.com
bol.com nameserver = pro-dns-auth-001.bol.com
pro-dns-auth-001.bol.com internet address = 185.14.168.221
pro-dns-auth-002.bol.com internet address = 185.14.169.221
> exit
Inderdaad eindigt de eerste "bol.com text = " regel op
~all. Goede uitleg daarover, maar een m.i. verkeerd advies, lees je in
https://wordtothewise.com/2014/06/authenticating-spf/. In het kort: "~all" betekent "softfail". Met andere woorden: deze SPF records zijn redelijk zinloos. Een spamfilter op een ontvangende mailserver zou bij een "softfail" (d.w.z. mail is verzonden vanaf een
niet door bol.com geautoriseerd IP-adres) strafpunten kunnen geven, maar of je daar een substantieel deel van deze scams mee tegenhoudt, is de vraag.
(3) Ik heb geen idee welk percentage Nederlanders mail ontvangt via een mailserver die grondig checkt op SPF, dus ook al
had bol.com SPF effectief geïmplementeerd, is het de vraag welk percentage ontvangers die scams
niet had ontvangen als die vanaf zombie-PC's (opgenomen in een botnet) waren verzonden. Stel dat dit percentage groot is, en dat de scammers dit weten. Dan
zou het kunnen dat de scammers toegang hebben
gezocht en gevonden tot een van de IP-adressen uit de reeksen genoemd in het DNS SPF record, dus 62.197.141.0/24, 171.33.133.57/29, 185.14.168.192/27 en 185.14.169.192/27 (waarbij 171.33.133.57/29 duidelijk een typfout bevat, ik heb geen idee van het effect daarvan).
2014-11-22 22:04 door Anoniem: Tot die tijd is het helemaal niet bewezen dat er een systeem of mailserver open is bij Bol.com..
Inderdaad. Ik gok dat de scammers geen toegang hebben gehad tot een, via SPF geautoriseerde, zendende "bol.com" mailserver. Maar ik kan ook niet uitsluiten dat ICT infrastructuur van bol.com gecompromitteerd is, de scammers de klantendatabase hebben kunnen benaderen, en deze scams vanuit het bol.com domein
zelf hebben verzonden.
2014-11-22 17:24 door Anoniem: "De e-mails werden verstuurd vanaf het adres klantenservice@bol.com. "Wij sturen nooit mails vanuit dat adres, mensen kunnen het daaraan herkennen."
Daarbij quote Anoniem het artikel:
vrijdag 21 november 2014, 19:33 door Redactie: De e-mails werden verstuurd vanaf het adres klantenservice@bol.com. "Wij sturen nooit mails vanuit dat adres [...] aldus een woordvoerster.
Als de headers gepost door Anoniem op 2014-11-22 11:06 kloppen, is die woordvoerster op zijn minst "onjuist geïnformeerd". Stom, maar kan gebeuren. Dit zal ertoe leiden dat de paar mensen die
dit onthouden, legitieme mails ongelezen in de ronde archiefkast opslaan.
Aan de andere kant, Google:
"Wij sturen nooit mails vanuit dat adres, mensen kunnen het daaraan herkennen." (inclusief die dubbele aanhalingstekens) levert nogal wat hits op, dus heel wat mensen zullen dit gelezen hebben...
vrijdag 21 november 2014, 19:33 door Redactie: De e-mails werden verstuurd vanaf het adres klantenservice@bol.com. "Wij sturen nooit mails vanuit dat adres, mensen kunnen het daaraan herkennen [...] aldus een woordvoerster.
En
dat is een Postenelletje (zie tweede helft van
https://www.security.nl/posting/405715/PostNL+waarschuwt+klanten+voor+besmette+e-mails#posting405821): "als onze e-mail eruit ziet als A hebben wij hem
wel verzonden, maar als hij eruit ziet als B dan is het nep"! En
dat is nou
precies een opmerking waar scammers een lekker warm gevoel bij krijgen...