Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ICS Phishing spamrun

19-05-2016, 09:57 door Erik van Straten, 5 reacties
Laatst bijgewerkt: 20-05-2016, 09:38
Bekenden van mij hebben vanochtend vroeg zeer betrouwbaar uitziende phishing mails ontvangen die er ongeveer uitzien als volgt (tussen accolades, dus { }, staat tekst die ik heb aangepast):
From: International Card Services <no-reply@ics.nl>
Sent: Thu, 19 May 2016 02:37:33 +0000
To: {verwijderd}
Subject: : Uw card is geblokkeerd

[ICS VISA Logo]

Blokkade online omgeving
Geachte {correcte voor en achternaam, doch zonder Hr./Mevr.},

Wij hebben geconstateerd dat er door anderen toegang verkregen kan worden tot uw online omgeving.

Mijn ICS geblokkeerd
Uit veiligheidsoverwegingen hebben wij daarom uw toegang tot Mijn ICS geblokkeerd. U kunt hierdoor helaas niet meer inloggen en u kunt geen betalingen meer doen.

Toegang herstellen tot Mijn ICS
Door op de knop inloggen te drukken, kunt u eenvoudig in een paar stappen uw toegang herstellen.
Dit is slechts eenmalig en wij vragen u dit te doen uit voorzorgmaatregelen.
Er is dus geen misbruik gemaakt van uw card en/of gegevens.

{Plaatje: Naar Mijn ICS | tekst: Mijn ICS met link eronder}

Wij vertrouwen erop u hiermee voldoende te hebben geïnformeerd.

Met vriendelijke groet,
ICS BV

De link verwijst naar hxxps://icscardonline.nl/vpas/ICSONLINE/VbV/css/m/redire.x?e={email_adres_verwijderd} (daarbij heb ik https gewijzigd in hxxps om onbedoeld openen te helpen voorkomen).

Als ik dat wijzig in hxxps://icscardonline.nl/vpas/ICSONLINE/VbV/css/m/redire.x?e=PipodeClown@icscards.nl vindt geen redirect plaats. Zo te zien wordt alle content geladen vanaf icscardonline.nl (IP=5.231.220.170, hoster is GHOSTnet GmbH). Ook interessant is dat de site een geldig https certificaat heeft (type DV = speelgoedcertificaat). Dat certificaat, met SHA1 hash a257efddeda16a58074de1e4c10fb5b83ae54504, is geldig vanaf "160518000000Z" (2016-05-08 00:00:00 UTC, dus 2016-05-08 02:00:00 Nederlandse zomertijd).

De pagina ziet uit zoals hier getoond: http://imgur.com/rNoEOJY (alle links onderaan de pagina verwijzen naar dezelfde URL).

Als je op deze site je gegevens hebt ingevuld, neem dan onmiddelijk contact op met ICS via https://www.icscards.nl/ics/mijn/ics/contact.. Let daarbij op het EV certificaat, in Firefox een groen slotje vooraan de URL balk met direct daarachter de tekst in groen, op witte achtergrond: International Card Services B.V. (NL) gevolgd door de URL die begint met https://www.icscards.nl/

VirusTotal ziet -helaas- er nog geen enkel kwaad in: https://www.virustotal.com/en/url/8dbd1709fa59487cd97eda73a04bba7a28b98b50261f329f689330de524e72fa/analysis/1463644050/

Volgens SSLLabs kun je, gezien de F score, beter niet inloggen op die site (maar dat wisten we al, om een andere reden): https://www.ssllabs.com/ssltest/analyze.html?d=icscardonline.nl&latest.

De phishing mail, die ik geanalyseerd heb, is verzonden vanaf:
d4b278f6.static.ziggozakelijk.nl ([212.178.120.246] helo=GEBRUIKER-PC)
via een mailserver van Ziggo:
smtpq2.tb.mail.iss.as9143.net (212.54.42.165)

Geen van beide IP-adressen zijn momenteel geblacklist volgens http://www.abuseat.org/lookup.cgi.

Het Return-Path (AKA Envelope From) was: <no-reply@ics.nl>
Ook kwam de volgende header erin voor:
received-spf: Fail ({ontvangende mailserver verwijderd}: domain of ics.nl does not
designate 212.54.42.165 as permitted sender) receiver={ontvangende mailserver verwijderd};
client-ip=212.54.42.165; helo=smtpq2.tb.mail.iss.as9143.net;

M.a.w. een check op het SPF record had deze mail geblokkeerd, maar veel heb je daar niet aan: http://www.ics.nl/ heeft NIETS met icscards.nl te maken, maar toevallig heeft ics.nl wel een SPF record gepubliceerd:
"v=spf1 ip4:185.38.152.33 ip4:37.153.238.220 +mx include:mailplus.nl -all"
"Foutje" dus van deze cybercriminelen om een afzenderdomein te gebruiken dat SPF-records publiceert.

Aanvulling 20-05-2016, 09:38: mijn excuses, ik zie nu dat ikzelf gisteren, vanaf deze plaats in deze bijdrage, "icscardonline.nl" "icscardSonline.nl" door elkaar gehaald heb, sorry! De phishingsite zat op "[www.]icscardonline.nl" (dus zonder "s" erin, de tekst boven dit grijze stuk klopt dus). Het IP-adres daarvan was gisterochtend nog 5.231.220.170, en sinds gistermiddag was dat 91.184.0.100 (zie https://www.security.nl/posting/471357/ICS+Phishing+spamrun#posting471482 verderop voor meer details).

Of "[www.]icscardonline.nl" gisterochtend een DNS TXT record (voor DNS) had, weet ik niet.
Uit het MX record van "icscardSonline.nl" leid ik af dat de DNS registratie daarvan altijd al van de echte ICSCards organisatie is geweest (een MX record geeft aan op welke mailserver e-mail moet worden afgeleverd die bestemd is voor gebruiker@icscardSonline.nl). Dat lijkt te worden bevestigd door de melding, naar verluidt van Clixicon, op http://www.icscardSonline.nl/: "This site has been registered for one of our customers". Kennelijk heeft de echte ICSCards dat gedaan om er een MX record voor te kunnen registreren , want dat record verwijst naar de mailservers van de echte ICSCards organisatie:
icscardsonline.nl MX preference = 100, mail exchanger = fallback.nl.uu.net
icscardsonline.nl MX preference = 50, mail exchanger = mail01.icscards.nl
icscardsonline.nl MX preference = 75, mail exchanger = mail02.icscards.nl
(mail wordt afgeleverd op de mailserver met de laagste "MX preference", als die niet bereikbaar is de volgende enzovoorts - dus normaal gesproken wordt mail afgeleverd op mail01.icscards.nl).

Nogmaals mijn excuses voor de verwarring! Mijn onderstaande conclusie verandert hier gelukkig(/helaas?) niet door - die ik overigens zojuist flink heb uitgebreid.

Conclusie

Je kunt erop wachten tot cybercriminelen, na het registeren van een domein zoals icscardonline.nl, daar correcte SPF, DKIM en DMARC records voor publiceren.

Je bent dan voor 100% afhankelijk van de mensen die dergelijke phishing mails ontvangen. Immers, van een e-mail die daadwerkelijk afkomstig is van <no-reply@icscardonline.nl> kun je alleen maar vaststellen dat het om phishing gaat als je je realiseert en weet dat domeinnamen als ics.nl, icscard.nl, icscards.com, icscards.net, icscards.org, icscards.eu en icscards.ni etcetera, maar ook domeinnamen als icscardonline.nl, icscardSonline.nl, icscard-online.nl en icscardS-online.nl niets te maken (hoeven te) hebben met icscards.nl.

Helaas hebben de publieke certificaatverkopers zelf de markt compleet verziekt door low-budget certificaten te verkopen waarbij de geverifieerde naam van de organisatie geheel ontbreekt in dat certificaat. Daarmee wordt het door mensen 100% exact onthouden van vaak weinigzeggende en nauwelijks te onderscheiden domainnames de taak van de mens (en, zoals je hierboven kunt lezen, struikelde ik gisteren tijdens mijn onderzoek over het verschil tussen icscardonline en icscardSonline). Nu ben ik zeker niet briljant maar ook geen complete sukkel; je kunt m.i. doorsnee internetters niet verantwoordelijk houden voor het herkennen van dit soort details.

Nu zou ik kunnen zeggen: als je gisteren op icscardSonline.nl je logingegevens hebt ingevuld, was je een sukkel - want die site had welliswaar een https verbinding met slotje, maar geen EV certificaat. Maar dat doe ik niet, want vandaag of morgen slagen cybercriminelen er ook in om EV-certificaten voor hun nepsite te verkrijgen.

Door alle technische maatregelen die we nemen wordt de mens dus een steeds belangrijker factor in informatiebeveiliging; aanzienlijk meer insecurity awareness bij alle internetters (ook aan de serverzijde!) is m.i. een must om internet redelijk veilig en werkbaar te houden.
Reacties (5)
19-05-2016, 10:44 door Anoniem
Hoi Erik! Ik heb even een melding gemaakt via VirusTotal community. Ik heb daarop de link afgewaardeerd en een waarschuwing geschreven. Dit om misbruik verder te beperken.

mvg.
Peter V.
19-05-2016, 11:01 door [Account Verwijderd] - Bijgewerkt: 19-05-2016, 11:03
[Verwijderd]
19-05-2016, 11:19 door Anoniem
>Er is dus geen misbruik gemaakt van uw card en/of gegevens.
>uw card
Obvious spam.
19-05-2016, 11:59 door Erik van Straten - Bijgewerkt: 19-05-2016, 12:06
@Peter V: dat zag ik (112... en ik had al zo'n vermoeden)

@MAC-User: ik ben het geheel met jou eens. In z'n huidige vorm is e-mail totaal ongeschikt voor het verzenden van vertrouwelijke gegevens, inclusief informatie met het verzoek om in te loggen op een website - met name als daarmee geldzaken of zeer vertoruwelijke gegevens toegankelijk worden. Dat mensen hierin trappen is dus de eigen schuld van ICSCards - die hiermee tevens een precedent schept voor de hele financiële sector.

Zij sturen mij namelijk regelmatig e-mails die er uitzien als volgt:
From: International Card Services <noreply@service.icscards.nl>
Subject: Uw rekening bekijken en betalen
Date: 2016-05-10 10:29

Geachte heer Van Straten,

Het rekeningoverzicht van uw OHRA Visa Card van de afgelopen maand is beschikbaar. U kunt dit overzicht bekijken en uw rekening betalen via Mijn ICS op www.icscards.nl {link verwijst naar [1]}.

Uw ICS creditcard-rekening betalen
- U heeft 21 dagen de tijd om uw rekening te betalen (gerekend vanaf de datum op het rekeningoverzicht).
- U kunt uw rekening betalen via Mijn ICS. Betaalt u uw rekening per automatische incasso, dan hoeft u uiteraard niets te doen.
- Wanneer u ingelogd bent op Mijn ICS ziet u wanneer u het minimaal te betalen bedrag uiterlijk dient te voldoen.

Betaal op tijd, zo voorkomt u een betalingsachterstand en extra kosten. Meer informatie over het terugbetalen van het openstaande saldo en de eventuele kosten die daarmee gepaard gaan, vindt u op www.icscards.nl/terugbetalen {link verwijst naar [2]}.

Direct inloggen op Mijn ICS {link verwijst naar [3]}

Met vriendelijke groet,

International Card Services BV
Postbus 23225, 1100 DS Diemen
KvK Amsterdam nr. 33.200.596

{reclameboodschappen verwijderd}

Daarbij is het gelukkig zo dat mijn mail client netjes tevens het SMTP e-mail adres toont, maar helaas pas als ik de mail heb geopend (in mijn Inbox staat slechts "International Card Services" - feitelijk nietszeggende tekst die spammer, tijdens verzending, aan elk gewenst SMTP adres kan koppelen).
Opvallend is ook dat hierachter de letters "BV" ontbreken - waarmee de mail wel wordt "gesigneerd".

M.a.w. het algemene advies dat, als er ook maar iets niet klopt in een e-mail, het zeker om phishing moet gaan, wordt hiermee getorpedeerd door ICSCards (want het gaat hier zeker niet om een phishing mail). Dit advies is m.i. zinloos en verkeerd (zie ook de reactie van Anoniem 11:19 hierboven) want:
1) niets, behalve stommiteit, belet spammers/phishers om geen fouten te maken;
2) werkelijke afzenders maken ook stomme fouten.
Met zo'n grondige check verspil je tijd die je beter had kunnen besteden aan een andere manier om te valideren of de afzender is wie hij zegt dat hij is. Maar dat vereist (helaas) wel dat je in mail headers moet kijken en domeinnamen moet checken - iets dat niet iedereen gegeven is.

Wel lijkt icscards.nl zowel SPF, DKIM als DMARC correct te hebben geïmplementeerd:
Authentication-Results: xs4all.nl; spf=pass
    smtp.mailfrom=service.icscards.nl; dkim=pass
    header.i=noreply@service.icscards.nl; dmarc=pass
    header.from=service.icscards.nl

Maar, zoals ik onderaan mijn TS-bijdrage schreef, is dat niet goed genoeg zodra cybercriminelen slimmer worden (iets waar je op kunt wachten), en SPF+DKIM+DMARC zijn alleen zinvol als het SMTP adres getoond wordt door de mail client EN mensen zich realiseren dat ze namen als "icscards" van andere namen als "ics" en "icscardsonline" moeten onderscheiden.

Gezien de bende aan schijnbaar willekeurige domeinnamen die zelfs "internetgiganten" in de strijd gooien (zie bijv. [4] voor enkele, van extreem vele, Microsoft domeinnamen - d.w.z. waarom eindigt niet alles op microsoft.com) kun je dit niet van gebruikers verwachten. Geen wonder dat mensen in phishingmails trappen en dat zullen blijven doen...

[1] https://www.icscards.nl/ics/?ns_campaign=notification.ics&ns_mchannel=e-mail.notification&ns_source=internal.20160510&ns_linkname=tekstlink&ns_fee=0
[2] https://www.icscards.nl/ics/info/kosten?ns_campaign=kosten&ns_mchannel=email&ns_source=enotif&ns_linkname=enotif.kosten
[3] https://www.icscards.nl/ics/info/kosten?ns_campaign=kosten&ns_mchannel=email&ns_source=enotif&ns_linkname=enotif.kosten
[4] https://www.security.nl/posting/471195/#posting471206
19-05-2016, 20:54 door Erik van Straten - Bijgewerkt: 20-05-2016, 09:46
Ondertussen is de phishing website niet meer bereikbaar onder hxxps://icscardonline.nl/ doordat het DNS A record daarvoor is gewijzigd (ergens halverwege donderdag 19-05-2016) van 5.231.220.170 in
91.184.0.100 (van provider Hostnet.nl).

Echter, de oorspronkelijke site is nog gewoon in de lucht (ook nog op 20-05-2016, 09:43 - no thanks to Ghostnet in Duitsland - kennelijk doof voor abuse meldingen), zoals je kunt zien in deze screenshot van 19-05-2016 20:38: http://imgur.com/1EdB5T3.

Terzijde, dit heb ik zichtbaar gemaakt door alle vensters van Firefox te sluiten, tijdelijk in de file "c:\windows\system32\drivers\etc\hosts" de volgende regel op te nemen:
5.231.220.170                     icscardonline.nl
en met Firefox een URL als hxxps://icscardonline.nl/vpas/ICSONLINE/VbV/css/m/redire.x?e=PipodeClown@icscards.nl te openen (maar dan met https i.p.v. hxxps natuurlijk).

Het certificaat is ook dus nog niet ingetrokken. Dat certificaat is overigens alleen geldig voor icscardonline.nl en www.icscardonline.nl. Het risico op misbruik van datzelfde certificaat voor een andere lijkt-op-domainname (zoals icscard.nl, icscardsonline.nl, icscard-online.nl, icscards-online.nl etc.) is dus 0. Maar een nieuw certificaat, eventueel een Let's Encrypt certificaat (nog gratis ook) is zo aangevraagd, dus reken je niet rijk...

Correcties 20-05-2016, 09:46: ook hier haalde ik icscardonline en icscardSonline door elkaar, dat heb ik gecorrigeerd. Mijn excuses! Daarnaast schrijf ik dat de feitelijke phishingsite nog steeds in de lucht is, maar niet meer onder de domeinnaam [www.]icscardonline.nl.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search