Wij hebben ze hier ook voorbij zien komen, sinds gisteravond.
De run is nog bezig want ik weet 2 omgevingen waar sinds 10 minuten die mails binnen zijn gekomen.

Er zijn meerdere subjects, maar de mails komen allemaal van @t-mobile.de

Succes iedereen

Hier ook, tientallen mailtjes, gepersonaliseerd en met functieomschrijving.
Verstuurd als <naam>@t-online.de via mailservers van t-online.de.
Worden niet herkend door DNS blacklists en virusscanners.

Vind je het sowieso niet vreemd dat de nota openstaat sinds 13 juni 2016 of is het een voorbeeld?

Het is hier al sinds 8.30 aan de gang.. voornamelijk afkomstig van t-online.de

Ik heb de mail ook voorbij zien komen, evenals meerdere collega's. De gegevens zijn volgens mij ook afkomstig van Linkedin. Wat mij nog opviel is dat de afzendergegevens die genoemd worden in het mailtje ook een Linkedin contact lijken te zijn, ook afkomstig uit dezelfde database. Het kan dus zijn dat je niet alleen ontvanger bent, maar ook verzender van de gegevens, volgens het mailtje dan. Toen ik de bijlage scande had ik nog een score van 0/55, gelukkig lijkt de detectie inmiddels beter.

Heel veel duidelijker wordt het niet dat het om een scam gaat.

Zie ze vandaag ook bij onze klanten.

Yep, hier ook honderden !!!
Worden ook niet afgevangen

Ook leuk dat je door een relatie wordt gebeld dat hij de factuur liever per post ontvangt :)

IOC's (Thanks Fox-IT!):
https://otx.alienvault.com/pulse/5756908fd865640135212865/

Weet iemand ook of herkend kan worden dat het betreffende document is geopend en het virus is opgestart. Er is iemand in de organisatie die de mail heeft geopend. Ik kan echter niet iets héél vreemds ontdekken in Taakbeheer. M.a.w. is het herkenbaar?

https://isc.sans.edu/forums/diary/LinkedIn+Breach+Data+Used+For+Malicious+EMails/21139/

Weet iemand of je dit virus (deze malware) kunt elimineren? Ik gebruik zelf F-Secure via KPN, maar die herkent geen malware in het document (het is dus ook geopend geweest). Alvast bedankt

Deze data is buitgemaakt via de LinkedIn data hack, las ik net, Ben even de bron kwijt...

Is het niet mogelijk dat de email-providers (Google en Microsoft voorop) in staat zijn om een email te scannen op dit soort oplichting?
Als ik op de link klik en er gebeurt iets heel vervelends, moet een solide bedrijf als Google of Microsoft dat toch ook wel kunnen detecteren als de de email doorfluiten?
Ik neem aan dat Google en Microsoft wel weten hoe zij een eventuele poging tot encripten weten te voorkomen.

Ik realiseer mij wel dat ik dan mijn privacy tot in de haarvaten prijs geef, maar wel aan bekende bronnen. Ransomware lijkt mij toch een stuk erger?

Als je twijfelt zou je een (gratis) malware removal/scanner tool, eigenlijk het liefst meer dan een, kunnen draaien op je systeem.
Als die niets vindt, kan het systeem schoon zijn, maar 100% zeker weten kun je het niet. Een format en schone Windows installatie is dan het enige wat zekerheid brengt.

De malware verschijnt als procesnaam "tmp1A1a.tmp" wat te zien is in taakbeheer. De locatie is C:\users\[user]\AppData\Local\Temp\Tmp1A1A.tmp.

Hier zijn op dezelfde dag nog nieuwsartikels over verschenen... dunkt mij dat informatie beter gegroepeerd dan gesegreggeerd wordt.

Ja hoor, kan je zelf ook: blokkeren van office docs met macro's op de MTA.

Wat ben ik blij dat ik geen Windows draai. Gelukkig werkt mijn computer nog voor mij, in plaats van dat ik voor mijn computer werk... :-)

Bij ons staat er ook 13 juni 2016, dus dat zou kunnen kloppen, en andere 8 juni..

Hoe vaak zou t-mobile.de zijn gebeld?

Phishers kunnen een aanval doen zonder het domein van een bank te gebruiken.

Spammers hebben gisteren "mijnicsactiveren.su" geregistreerd (ICS is een credit card bedrijf). Dat zal waarschijnlijk in phishing worden gebruikt.

Nee, en wanneer spammers vrij zijn in het aanschaffen van een willeurig domein kunnen ze dat domein voorzien van DKIM, SPF, etc. Het werkt dus alleen als de ontvanger goed controleert. En dat is precies wat er doorgaans niet gebeurt. Het ontbreekt aan tools aan de ontvangerskant.

Wel zijn er zware nadelen aan die domeingebaseerde authenticatietechnieken (blokkeren bij doorsturen bijvoorbeeld).

Het is het beste toepasbaar bij financiele instellingen, overheden en bedrijven die rekeningen versturen, maar zij kunnen veel beter met signeren van berichten en certicaten werken. Dat gebeurt helaas zelden of nooit en dat is dus een zwak punt in de huidige beveiliging.

Dat is niet eens nodig.

In de meest ideale situatie (en die heb je zelden) beschermt uitsluitend de combinatie van SPF+DKIM+DMARC hooguit één specifieke e-mail afzenderdomeinnaam (d.w.z. example.com uit het fictieve e-mail adres voorbeeldafzender@example.com).

Die combinatie van SPF+DKIM+DMARC records voor één domeinnaam heeft geen enkele invloed op iets afwijkende "klinkt als" of "lijkt op" domeinnamen zoals example.nl, example.net of com.example.

Als de ontvanger van een e-mail zich al realiseert dat zij/hij op de domeinnaam van de afzender van een e-mail moet letten (en die domainnaam überhaupt zichtbaar is in de gebruikte e-mail client), moet zij/hij zich daarnaast ook nog realiseren en weten dat uitsluitend icscards.nl en icscardsonline.nl (voor zover ik weet zijn dat slechts die twee, maar hoe je betrouwbaar kunt vaststellen of en welke andere e-mail domeinnamen tot een organisatie behoren, weet ik niet) legitieme e-mail afzenderdomeinnamen zijn voor de organisatie met als website https://www.icscards.nl/.

M.a.w. zij/hij moet zich realiseren dat e-mails, die verzonden zijn (of lijken te zijn; zonder voor die domeinnaam geregistreerde SPF+DKIM+DMARC records is dat doodsimpel) van een (iets) afwijkende domeinnaam, hoogstwaarschijnlijk niet afkomstig zijn van de veronderstelde organisatie (https://www.icscards.nl/).

En als zij/hij op een link in zo'n mail klikt, moet zij/hij zich realiseren dat als de URL van de website niet begint met https://www.icscards.nl/ (let daarbij goed op die laatste slash, want https://www.icscards.nl@example.com of https://www.icscards.nl.example.com zijn totaal andere sites), het niet om de juiste site gaat. OOK NIET als die website een correct certificaat heeft en, zondet certificaatfoutmeldingen, een slotje getoond wordt (zoals www.icscardonline.nl recentelijk had, zie [1]) en als twee druppels op de verwachte website lijkt.

Kortom, DPF+DKIM+DMARC records voor icscards.nl bieden geen enkele bescherming tegen e-mails verzonden door maaknietuit@mijnicsactiveren.su (zowel werkelijk als schijnbaar). Als de ontvanger niet weet dat mijnicsactiveren.su niet van International Card Services BV (ICS) is, en na het klikken op de link in de mail de URL in de webbrowser http://www.mijnicsactiveren.su/, of zelfs https://www.mijnicsactiveren.su/ met slotje, niet als nep herkent, is zij/hij kansloos.

[1] https://www.security.nl/posting/471357/ICS+Phishing+spamrun

Ik zou ook wel graag willen weten hoe ik deze malware van marco onschadelijk maak.

Niet!
Gewoon marco met een punt 50 afknallen. Dan kan hij geen nieuwe malware meer maken. ;-)

Ik heb t-online.de binnen Exchange geblokkeerd.
Hierdoor komen de mailtjes niet meer binnen.

Ik hoop voor je dat je geen zaken doet met Duitse bedrijven. T-online is een grote telecom provider.

Uiteraard. Wij doen geen zaken met T-Online.

Nee, dat zal wel niet, maar T-Online is de grootste ISP in Duitsland met 14 miljoen gebruikers en miljoenen t-online.de email accounts.

Prina, m.i. hebben we veel te lang de zelfregulerende werking van Internet verwaarloosd.

Als mailservers spammen horen ze op spam blacklists te komen. Dan ontstaat eerst bij de klanten en vervolgens bij de ISP het besef van urgentie om het onderliggende probleem op te lossen. Whitelisting van "dikke" mailservers zorgt ervoor dat de eigenaars daarvan denken dat ze zich alles maar kunnen permitteren.