Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Transportbedrijf Buitink B.V.

08-07-2016, 16:33 door Placebo, 125 reacties
Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:

Subject:
Mislukte afleverpoging BT-32084

Body:

Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------

Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)

Met vriendelijke groet,
Anna Dorst

URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/

Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/

Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100

En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Reacties (125)
08-07-2016, 16:43 door Anoniem
Hetzelfde bericht zojuist ontvangen, maar niks besteld.
08-07-2016, 16:47 door Anoniem
Ik krijg net exact de zelfde mail binnen, inclusief het zelfde leveringsnummer.
Spam!!!
08-07-2016, 16:47 door Anoniem
Zo, precies dezelfde mail ook net gehad om 16:44 uur. Gelukkig was dit topic er al!
08-07-2016, 16:49 door Anoniem
same here
virus :)
08-07-2016, 16:51 door Anoniem
Heb precies dezelfde mail ontvangen met dezelfde tijd.
Ga er dus maar vanuit dat dit malware is.
08-07-2016, 16:55 door Anoniem
Bij mij is er vandaag ook hetzelfde bericht afgeleverd. Ik werd achterdochtig doordat het e-mailadres anna@dorrestein-onderhoud.nl is en de naam in de mail Transportbedrijf Buitink is. Buitink zit conform adres in de mail in Utrecht en Dorrestein in Voorburg. De website van Buitink is ook uit de lucht.
08-07-2016, 16:59 door Anoniem
ik heb ook zn mail gehad van transportbedrijf buitink, maar ik verwachte geen pakje.
maar goed dat ik dit transportbedrijf even google gewoon een dikke firus dus.
Nou bedankt dat dit op het internet staat.
08-07-2016, 17:03 door Anoniem
Ik heb deze melding Gehad en aangeklikt
Niet helemaal laten laden en nu wat nu?
08-07-2016, 17:05 door Anoniem
Net vond ik drie van die mails in mijn inbox. Ze komen allemaal van een ander mailadres.
Ook staat er niet op op welk adres het pakje zou zijn aangeboden.
08-07-2016, 17:07 door Anoniem
heb er nu 5 ontvangen met verschillende afzenders
08-07-2016, 17:08 door Anoniem
Precies dezelfde mail gehad.
08-07-2016, 17:11 door Anoniem
Kreeg een mail met de zelfde inhoud, 8 juli 2016 16:41. Afzender is een persoon @ai.rug.nl (Artificial Intelligence Universiteit Groningen), niet het zogenaamde transportbedrijf en ook niet ondertekende "Anna Dorst".

De bandieten hebben zich de moeite gespaard een website in te richten: http://transportbedrijfbuitink.nl geeft een 1-regelige melding dat de site tijdelijk niet beschikbaar is wegens onderhoud.
08-07-2016, 17:12 door Anoniem
heb idd zn mailtje ontvangen
PAS op met openen, zit virus in
ik was zo alert om het gelukkig eerst te controleren op internet
omdat ik geen pakje verwacht.
08-07-2016, 17:13 door Anoniem
Heb vandaag ook zo'n mail ontvangen. Links lijken betrouwbaar, maar toch niet uitgeprobeerd. Weet bedrif Buitink hiervan?
Johan
08-07-2016, 17:23 door Anoniem
Correct, wij hebben ook meerdere mails binnen gekregen op veel verschillende domeinen.
08-07-2016, 17:23 door Anoniem
Wij hebben onze email servers moeten stoppen vanwege grote overload met deze berichten. Tekst en karakter is gelijk aan beschreven bericht.

Zijn er tips om deze ellende buiten de deur te houden. Ondanks dat een groot gedeelte wordt onderschept komen sommige berichten toch nog door de beveiliging.
08-07-2016, 17:24 door Anoniem
heb deze mail ook gehad, niet op reageren
08-07-2016, 17:28 door Anoniem
Email is afkomstig van IP 93.185.21.99


% Abuse contact for '93.185.16.0 - 93.185.23.255' is 'abuse@rt.ru'

inetnum: 93.185.16.0 - 93.185.23.255
netname: LENOBL-ADSL-AVANGARD-NET
descr: OJSC "Rostelecom" Macroregional Branch North-West
country: RU
admin-c: RCR3-RIPE
tech-c: RCR3-RIPE
status: ASSIGNED PA
mnt-by: AS8997-MNT
mnt-by: ROSTELECOM-MNT
created: 2013-06-05T10:53:11Z
last-modified: 2013-06-05T10:53:11Z
source: RIPE

role: ru.spbnit contact role
address: OJSC Rostelecom
address: Macro-regional branch Northwest
address: 14/26 Gorokhovaya str. (26 Bolshaya Morskaya str.)
address: 191186, St.-Petersburg
address: Russia
phone: +7 812 595 45 56
remarks: --------------------------------------------
admin-c: IS111-RIPE
tech-c: IS111-RIPE
tech-c: AA728-RIPE
tech-c: ES1680-RIPE
tech-c: AMYU-RIPE
tech-c: VE128-RIPE
tech-c: TL4565-RIPE
tech-c: TR4627-RIPE
nic-hdl: RCR3-RIPE
remarks: --------------------------------------------
remarks: Spam & Abuse: abuse(at)dtd.ptn.ru
remarks: General questions: ip-noc(at)nw.rt.ru
remarks: Routing & peering: ip-noc(at)nw.rt.ru
remarks: --------------------------------------------
abuse-mailbox: abuse@dtd.ptn.ru
mnt-by: AS8997-MNT
created: 2002-09-04T09:29:24Z
last-modified: 2015-08-10T07:09:16Z
source: RIPE Filtered

% Information related to '93.185.16.0/20AS12389'

route: 93.185.16.0/20
descr: OJSC Rostelecom Macroregional Branch North-West
origin: AS12389
mnt-by: ROSTELECOM-MNT
created: 2013-06-06T10:06:52Z
last-modified: 2013-06-06T10:06:52Z
source: RIPE
08-07-2016, 17:32 door Anoniem
Ik kreeg de mail zojuist ook binnen. Maar zodra er een spelfout in de tekst staat, weet ik al dat het foute boel is.
08-07-2016, 17:35 door Anoniem
Heb ook een e-mail van Transportbedrijf Buitink in Utrecht ontvangen, terwijl de inhoud niet overeenkomt met onze aanwezigheid op dat tijdstip.
Naar mijn idee volstrekte nep een meldingswaardig.
08-07-2016, 17:44 door Anoniem
Ja zie ze hier ook voorbij komen, geregistreerd in de Arabische Emiraten en gehost in de Us of A.

Jammer dat ze meermaals in de mailbox terecht komen met zogenaamd verschillende afzenders wat een en ander wat onwaarschijnlijker maakt. Maar des al niet te min aardig overtuigend.
08-07-2016, 17:47 door Anoniem
Ik kreeg hem ook binnen via mailadres asim@bibliotheekmb.nl
08-07-2016, 17:53 door Anoniem
Klopt. Ik heb hem ook ontvangen.
08-07-2016, 17:56 door Anoniem
MIjn vader heeft in een onbedachtzaam moment deze bijlage geopend op zijn Mac laptop.
Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.

Groetjes Danique
08-07-2016, 17:57 door Anoniem
Yep, ook in Zeeland binnengekomen
08-07-2016, 17:58 door Anoniem
Ik heb precies dezelfde mail ontvangen...
Vond het vreemd dat er geen telefoonnummer bij stond, toch maar even gegoogeld.
Ik verwachtte wel nog een pakket komende week.
Ik weet weer genoeg.
08-07-2016, 18:00 door Anoniem
Ja hier ook net binnen!! 17:48 in mijn inbox
08-07-2016, 18:00 door Anoniem
ja ik heb hem ook net gehad en vond het twijfelachtig dus heb het niet geopend en eerst gegoogled en kwam zo ook hier terrecht
08-07-2016, 18:06 door Anoniem
kreeg hem ook binnen en toch geopend helaas, deze leek wel heel goed en kon ook goed in mijn situatie passen. Toch geopend maar word gaf aan dat het met een oude versie was gemaakt dus toen enig wantrouwen en weggeklikt, denk niet dat het nu al schade heeft veroorzaakt?
08-07-2016, 18:12 door Anoniem
Hier ook binnen gehad net. Identieke mail.
08-07-2016, 18:14 door Anoniem
Ik heb er zojuist ook een binnen gekregen. Maar niets geopend.
Ik zit wel te wachten op een bestelling van ToolNation, nml. een bankschroef. Die blijft lang weg vanwege de (te) lange duur van een bankoverschrijving. Vandaar dat ik enkele keren per mail contact heb gehad met ToolNation over de bestelling en overschrijving. ik vraag mij af of er een verband bestaat met ToolNation en dit dergelijke crimineel bericht???
08-07-2016, 18:17 door Anoniem
Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@transportbedrijfbuitink.nl http://bestanden.transportbedrijfbuitink.nl/BT-32084.doc (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Anna Dorst

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.
08-07-2016, 18:17 door Anoniem
Same hier. Vertrouwde het niet. Maar precies zelfde tekst.
08-07-2016, 18:21 door Anoniem
Ik kreeg deze mail ook om 17:02 uur. Omdat hij me vreemd toe leek en er ook nog een Duits mailadres bovenstond, heb ik eerst (niet via die link maar via google) jullie site opgezocht. Fijn dat dit bericht meteen goed zichtbaar op jullie site staat! Dank je wel.
08-07-2016, 18:21 door Anoniem
Dank, vermoedde het al en nu weet ik het zeker.
Arjan
08-07-2016, 18:30 door Anoniem
ik heb zojuist 3 van deze mailtjes ontvangen in mijn mailbox
08-07-2016, 18:30 door Anoniem
Binnen een uur al 2 keer deze mail ontvangen van 2 verschillende afzenders

Wij zijn een zaak die van 08.00 tot 18.00 uur geopend is dus de melding dat afleveren niet mogelijk was om 11.30 uur kan niet kloppen.


Vandaar onze argwaan
08-07-2016, 18:36 door Anoniem
Je BT-32084.doc gedownload en bekeken (zonder eerst naar VT te gaan ;)

Lijkt inderdaad een word document dat 'niet helemaal lekker in elkaar' zit.
Het lijkt me niet verstandig dit in een MS Office omgeving te openen en macro's in te schakelen.
Het doc geeft bij mij in een Niet WinOS omgeving met andere programma's in ieder geval foutmeldingen bij proberen te openen van het document (o.a. LibreOffice).

Dit is de document structuur van het 'doc' dat ik uiteindelijk zie

[Content_Types].xml
_rels\.rels
customXml\_rels\item1.xml.rels
customXml\item1.xml
customXml\itemProps1.xml
docProps\app.xml
docProps\core.xml
word\_rels\document.xml.rels
word\_rels\vbaProject.bin.rels
word\document.xml
word\fontTable.xml
word\media\image1.png
word\numbering.xml
word\settings.xml
word\styles.xml
word\theme\theme1.xml
word\vbaData.xml
word\vbaProject.bin
word\webSettings.xml

Het plaatje en het bin file geven niet leesbare code.
E.e.a. nader bekeken.

In het png plaatje, waarvan me niet duidelijk is of het zelf al malware code bevat, staat de volgende informatie
Office

This document has been made in an old version of Microsoft Word.
This document is only available on computer and laptop versions of Microsoft Word.

In order to display this document you will first have to click "Enable Editing" and then
click "Enable Content" on the top of the page.

____________________________

Dit document is gemaakt met een oude versie van Microsoft Word.
Dit document is alleen beschikbaar op computer versies van Microsoft Word.

Om dit document weer te geven dient u eerst op "Bewerken inschakelen" te klikken en
vervolgens op "Inhoud inschakelen" te klikken in de gele balk boven aan de pagina.

Opmerkelijk is het verschil tussen de Engelse Tekst en de Nederlandse, de toevoeging van de frase "gele balk" lijkt erop te duiden dat de maker geen translator heeft gebruikt om Engelse tekst naar Nederlandse om te zetten maar dat het door iemand gedaan is die het Nederlands zelf beheerst.
Niet zo gek want deze phishingmail is ook geheel in het Nederlands, met hier en daar een toch nog 'spelfoudt' in de email..
Zou het dan een echte Hollandse schuinsmarcheerder zijn?
Gezien de onkennis van dees en tees.
Je weet het niet.
Twijfels;)

Verder gekeken geeft de maker alsnog wel wat weg aan interessevoorkeuren en misschien wel een mogelijke afkomst.
Een hex dump van de code uit de bin-file, op zoek naar iets van een domein of ip adres om meer rotzooi binnen te halen, levert bij terugkering de volgende reeks van letters op:
Tony Montana Z Rana Jak

Tony Montana?
Dat lijkt me een Italiaan.

Zocht willekeurig wat op "Tony Montana Z Rana Jak" kreeg ik steeds resultaten van poolse websites, diverse pagina's met lyrics.
"Z Rana Jak" door een online translator gehaald dan levert op, "Polish detected".
En vertalingen als : "Met Rana Hoe" , "With Rana How" .
Who the .. is Rana?
Een of andere onontdekte poolse celeb?
Nederlands/Pools, Pools/Nederlands met Italiaanse filmvoorkeur?

Verder 'Word' ik er niet veel wijzer van (als 'hobbysecuritydummie' ;), behalve dan dat de kans bestaat dat iemand die hier buiten de bekende paden wat aan het bijklussen is.
En dat de kans groot is dat we deze keer die klusser nou net niet in ons (virtuele) huis willen hebben.

In mijn LibreOffice werkte deze vba-macro niet.
Waar ik nog wel benieuwd naar ben of deze vermoedelijke ellende ook niet zou werken in een LibreOffice versie voor Windows (opgepast met experimenteren!).
Ik gun het 'jullie' van harte, LibreOffice.
In zijn algemeen en zeker als het je vrijwaart van dit soort macro malware.

LibreOffice?
https://www.libreoffice.org/download/libreoffice-fresh/
Gratis!
En ongevaarlijk.


Aardig meegenomen: we hebben er in ieder geval een filmklassiekertip bij.
08-07-2016, 18:38 door Anoniem
Ik heb er al 2 gehad van verschillende bedrijven op een oud mail-adres dat nog net doorgeleid is. De gemene deler is Transportbedrijf Buitink. Het lijkt heel echt. Monique
08-07-2016, 18:40 door Anoniem
Bevestig bovenstaand verhaal.
Vandaag ontvangen.
Ziet er idd netjes uit maar daar trappen we niet in.
08-07-2016, 18:41 door Anoniem
Ik had hem ook. Inderdaad een overtuigende mail. Oppassen!

De afzender was bij mij informatie@america.nl Dit was dan ook het enige vreemde aan de mail.

Dank voor je post, ik stond op het punt om op de link te klikken!
08-07-2016, 18:44 door Anoniem
Ik heb exact en 1-op-1 dezelfde mail ontvangen vandaag 8 juli om 16:26.
Dezelfde afzender, zelfde datum in bericht etc.

De mail komt van het emailadres:
m.a.devreede@beurse.nl

Bij nader onderzoek in de broncode van dit emailbericht komen er 2 vreemde IP-adressen naar boven:

- 14.176.51.89 (IP-adres gelocaliseerd in Vietnam)
- 92.229.55.32 (IP-adres gelocaliseerd in Duitsland)

Het mag duidelijk zijn dat dit geen zuivere koffie is.

Niets van de bijlages openen en gelijk in de prullenbak ermee!

Vriendelijke groet.
08-07-2016, 18:46 door Anoniem
Oke. Wat is er gebeurd met, email waarvan je de afzender niet kent verwijderen?
08-07-2016, 18:46 door Anoniem
Ik heb exact dezelfde mail ontvangen!
08-07-2016, 18:50 door Anoniem
Geachte l.s.

vanmiddag inderdaad deze e-mail ontvangen op mijn zeelandnet account. Ik heb mijn provider hierover geïnformeerd

met vr gr

Louis.
08-07-2016, 18:52 door Anoniem
Wil danken voor de waarschuwing. Ontving vandaag exact dit mailtje en vertrouwde het niet. Had namelijk niets besteld. Bij intypen van 'transportbedrijf Buitink' kwam ik bij deze waarschuwing. Zal de waarschuwing met link naar jullie, verder verspreiden.

Met vriendelijke groet,

Frits ten Hove
08-07-2016, 18:54 door Anoniem
Wat een onzin levering om zo laat hele dag thuis en als jullie iets afleveren stuur dan eerst mail of zo maar is gewoon Spam
08-07-2016, 18:58 door Anoniem
Thnx,

ik zit wel op een pakket te wachten maar twee mailtjes van dit bedrijf en twee verschillende email adressen : mimoun@goudstikker.nl en het minder realistische rob.hartman@amc.uva.nl was genoeg om eerst even research te doen.

Mijn pakket komt later en mijn pc is gered.
08-07-2016, 18:59 door Anoniem
ik heb nu al 4 mailtjes van binnen gekregen met dit soort ongein.
4 mailtjes met ieder een afgezonderde afzenders.
08-07-2016, 19:11 door Anoniem
ik heb deze mail ook ontvangen, exact dezelfde tekst
op 3 van mijn mailadressen allen van verschillende afzenders.
ik voelde al meteen nattigheid, snel verwijderen dus.
08-07-2016, 19:17 door Anoniem
Ik zie deze mail ook. De afzender van deze mail is in mijn geval : Karin.van.den.Akker@Vitabypoels.nl
Ziet er gelijk fake uit....
Richard Amsterdam.
08-07-2016, 19:21 door Anoniem
Ik heb net ook deze mail binnen en ben eerst naar de site gaan zoeken van dit bedrijf en kwam dus gelijk op deze site en weet voldoende , dank hier voor.
08-07-2016, 19:22 door Anoniem
Ik heb er vandaag ook 1 gehad, ziet er bedrieglijk echt uit.
08-07-2016, 19:22 door Anoniem
Deze zijn bij mij binnengekomen om 15:51 en 18:26
08-07-2016, 19:25 door Anoniem
jep, ik mocht deze mail VANDAAG 8-7-16 ontvangen.
08-07-2016, 19:27 door Anoniem
Merkwaardig. Wij hebben precies dezelfde eMail ontvangen. Chauffeurs komen dus op verschillende adressen op exact het zelfde tijdstip !!
08-07-2016, 19:44 door Anoniem
Dank voor uw terugkoppeling wij vertrouwden dit al niet. Wij hebben in totaal drie e-mails binnen gehad met precies dezelfde tekst. De afzenders waren: rdzialach@oku.nl / noblednobledo@goudstikker.nl & emailpaul@meezuidoostbrabant.nl

Hoe verzin je dit soort adressen bij een transportbedrijf? De eerste (na @) is een groothandel, de tweede is een ingenieursbureau en de derde is stichting MEE.....
08-07-2016, 20:00 door Anoniem
De grap van het ook door mij ontvangen mailtje is, dat ik gisteren niet thuis was op genoemd tijdstip, maar...... de enige die dat kon weten is de leverancier van de online tickets voor Blijdorp. Zijn er meer mensen met de traktatie van een mailtje én online kaartAANkoop?
08-07-2016, 20:03 door Anoniem
Om 18.39 uur heb ik precies hetzelfde bericht gekregen van het e-mailadres marly.peeters@ross.nl. Die chauffeur heeft het druk gehad om 11.30 uur!
08-07-2016, 20:04 door Anoniem
heb wel 20 mail's gehad nu met de tekx word er moederloos van steeds
08-07-2016, 20:06 door Anoniem
Door Anoniem: Hetzelfde bericht zojuist ontvangen, maar niks besteld.
08-07-2016, 20:07 door Anoniem
Dezelfde mail ontvangen.
Niet geopend omdat ik geen pakketje verwacht.
Goed dat ik jullie meldingen allemaal zie,

Dank voor jullie reacties.
08-07-2016, 20:28 door Anoniem
Dezelfde email ontvangen maar niet op gereageerd. Verwachte wel een pakje en was donderdagmorgen niet thuis.
Pakje is bij de buren afgegeven. Buitink ken ik niet dus niets gedaan.
08-07-2016, 20:41 door Anoniem
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100


kijk op deze site hoe gevaarlijk het is
08-07-2016, 20:49 door Anoniem
heb exact dezelfde mail ontvangen (Hoekse Waard): chauffeur moet een echte duizendpoot zijn.
In ieder geval had Avast virusscan eea netjes er uit gevist.
08-07-2016, 20:52 door Boekenwurm
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:

Subject:
Mislukte afleverpoging BT-32084

Body:

Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------

Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)

Met vriendelijke groet,
Anna Dorst

URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/

Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/

Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100

En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
08-07-2016, 20:54 door Boekenwurm
Ook dezelfde mail gekregen, maar verwachtte geen zending. Kreeg direct argwaan!
Ze worden vindingrijk! Arme chauffeur idd:)
08-07-2016, 21:09 door Anoniem
Hier ook zo'n email ontvangen. Verwijderd want was meteen duidelijk dat het niet klopte
08-07-2016, 21:22 door Anoniem
Het mailtje komt vanaf dit adres:

Springstreet 27, Rotherham England.

Ik heb een IP search uitgevoerd, hier een directe link naar het resultaat
:
http://aruljohn.com/ip/2.216.187.84

Je ziet hier een Kaart van Google Maps en met Streetview kun je zien dat het een heel klein huisje is

Heb ook al een abuse melding gedaan bij Sky, hoopt dat ze die lui aanpakken.:

Hello,

Got this spam/phishing mail in dutch, appears to be from someone with sky broadband.

It tells in very bad misspelled dutch about a package that wasn’t delivered and that we should contact an address in Utrecht, the Netherlands.

Can you do something about this?

I sent the mail with full headers and a link to an address.

This is the address where it is sent from, Springstreet 27, Rotherham, England.

This a direct link to the result of the ip search:
http://aruljohn.com/ip/2.216.187.84

Rob uit Alkmaar
08-07-2016, 21:44 door Anoniem
Ik heb ook twee van dit soort mailtjes binnen. mijn Spamassassin software markeerde hem al als spam. Toch nog even een dubbelcheck. Transbortbedrijf Buitink is nu extra toegevoegd in mijn spamfilter zodat ik deze mailtjes helemaal niet meer krijg. GNA GNA
08-07-2016, 21:45 door Anoniem
Ook net zo.n mail binnen gekregen en doorgestuurd naar abuse@zeelandnetbv.nl...de afzender was j.ouddijk@space.nl en ze doen het waarschijnlijk met verscillende adressen...heb het ook op facebook gezet als waarschuwing voor andere mensen
08-07-2016, 22:00 door Anoniem
Deze mail (nog?) niet ontvangen, op geen van mijn mailboxen.

Wat nu?
08-07-2016, 22:02 door Anoniem
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:

Subject:
Mislukte afleverpoging BT-32084

Body:

Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------

Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)

Met vriendelijke groet,
Anna Dorst

URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/

Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/

Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100

En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Ik kreeg de mail 5x binnen met verschillende namen
08-07-2016, 22:09 door Anoniem
Door Anoniem: Hetzelfde bericht zojuist ontvangen, maar niks besteld.

me too
08-07-2016, 22:15 door Anoniem
Ik heb deze link op mijn iPhone geopend. Wat kan ik het beste doen?
08-07-2016, 22:45 door Anoniem
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:

Subject:
Mislukte afleverpoging BT-32084

Body:

Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------

Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)

Met vriendelijke groet,
Anna Dorst

URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/

Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/

Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100

En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:

Subject:
Mislukte afleverpoging BT-32084

Body:

Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------

Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)

Met vriendelijke groet,
Anna Dorst

URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/

Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/

Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100

En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Ok de mail ontvangen. Wij verwachten wel een pakket. Dus erg verleidelijk om te openen. Gelukkig even gegoogeld en jullie reacties gezien.
08-07-2016, 22:46 door Anoniem
Ook ik heb deze mail ontvangen. Schrijffout en niet op naam.
08-07-2016, 23:12 door Anoniem
Vandaag 8 juli 2016 meteen maar 7 van deze oplichtersmails binnen gekregen met de volgende afzenders maar dezelfde tekst

s.geldof@john-wetzels.nl 6:21 pm Mislukte afleverpoging BT-32084
j.mokkenstorm@dr.nassaucollege.nl 6:11 pm Mislukte afleverpoging BT-32084
gwmsprakel@magellanes.nl 6:03 pm Mislukte afleverpoging BT-32084
e.w.a.timmerman@transperfect.nl 5:16 pm Mislukte afleverpoging BT-32084
michael@foodspecialist.nl 4:50 pm Mislukte afleverpoging BT-32084
ramona@djrichie.nl 3:44 pm Mislukte afleverpoging BT-32084
siqing_47@eu.hannspree.com 3:33 pm Mislukte afleverpoging BT-32084

Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------

Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30
geprobeert om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te
downloaden, in te vullen en retour te mailen naar
info@transportbedrijfbuitink.nl
http://bestanden.transportbedrijfbuitink.nl/BT-32084.doc (dit formulier
bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Anna Dorst

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd
en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze
informatie door anderen dan de geadresseerde is verboden.
08-07-2016, 23:23 door Anoniem
Heb vandaag 2 soortgelijke e-mails ontvangen. Heb deze aangeklikt en gelezen.
De in de email vermelde link heb ik niet bekeken. Beide e-mails heb ik daarna
gelijk verwijdert.
Kan er nu spam en/of een virus op mijn computer staan?
Op mijn computer staat trouwens een Kaspersky viruskiller.
08-07-2016, 23:38 door Anoniem
Door Anoniem: MIjn vader heeft in een onbedachtzaam moment deze bijlage geopend op zijn Mac laptop.
Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.

Groetjes Danique

Nee dat doet niets op je Mac, ik heb er naar gekeken, op een Mac.
Het is windows malware, business as usual.

Slim van hem om direct het internet af te sluiten maar in principe is malware sneller met binnenhalen van rotzooi dan jij met met je ogen kan knipperen.

Groet van 'Roberd te Niroo'
;)
08-07-2016, 23:50 door Anoniem
Hallo.
Ik heb deze mail ook ontvangen. Geopend, stom!
Ik verwacht nl een pakketje. Ik las en vond het vreemd... Ik heb niet op de link geklikt.
Krijg ik nu alsnog het virus?
08-07-2016, 23:58 door Anoniem
Ik heb exact dezelfde mail ontvangen. Heb geprobeerd hem te openen (de link) via meerdere programma's. Achteraf stom maar het kwam zogenaamd uit Utrecht waar iemand woont die ik ken. Zou ik nu een virus op mijn telefoon kunnen hebben?
09-07-2016, 00:02 door Anoniem
Als in een email staat: "geprobeert" ... dan moeten alle alarmbellen toch al afgaan!!!
09-07-2016, 00:04 door Anoniem
Hier ook hetzelfde bericht, wel door mijn provider met spam ervoor aangemerkt...ontvangen 7/7 om 17:35
09-07-2016, 00:51 door Anoniem
Door Anoniem: Ik heb deze melding Gehad en aangeklikt
Niet helemaal laten laden en nu wat nu?
Zolang je de link naar het word bestand niet aanklikt is er niets aan de hand.
Geld ook voor heel veel meer van dit soort mails.
09-07-2016, 00:58 door Ibrahim
Door Anoniem: MIjn vader heeft in een onbedachtzaam moment deze bijlage geopend op zijn Mac laptop.
Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.

Groetjes Danique
Waarschijnlijk geen probleem met Mac. Meestal zijn virussen alleen gevaarlijk voor Windows.
Voor de zekerheid eerst even een virusscanner uitvoeren. Heb geen ervaring met Mac dus weet niet welke scanner je moet gebruiken.
09-07-2016, 05:48 door Anoniem
Willen degene die afzender emailadressen hebben vermeld deze verwijderen of in ieder geval onbruikbaar maken? Dat voorkomt spam voor mensen die er helemaal niets mee te maken hebben. Afzender adressen worden vaak vervalst en hier is dat ook zo.

transportbedrijfbuitink punt nl is een 100% spam domein. Het is geen domein in gebruik door een bedrijf.

Dit zijn whois gegevens:

Registrar:
PDR Ltd.
P.O. Box #16113
UAE
United Arab Emirates

Domain nameservers:
ns2.dnsserver1.xyz
ns1.dnsserver1.xyz

Deze name server is kwaadaardig. Het serveert deze domeinen:

beekumtransport punt nl
hoffmantransport punt nl
maatmantransport punt nl
stegerstransport punt nl
weerdematransport punt nl
hoevenaartransport punt nl
steehouwertransport punt nl
transportbedrijfbuitink punt nl

Blokkeer al deze domeinen.
09-07-2016, 09:12 door Anoniem
Ik heb gisteren deze mail ook gehad via mijn Zeelandnet mail afkomstig van een zeelandnetadres

Ik verwacht wel een pakket en heb op de link gedrukt
Ik heb een iPhone en kreeg de melding kan bestand niet vinden/openen

Is mijn telefoon nu besmet met een virus of is het geblokt omdat het niet geopend werd?
09-07-2016, 09:24 door Anoniem
Ik heb de voorloper van deze e-mail ontvangen, volgens mij:

Leeg bericht, verzonden vanaf zgn. mijn e-mail, met een .doc!M! bijlage. IP:200.188.129.90

Ingezonden op VirusTotal, als tweede:

https://www.virustotal.com/nl/file/676e6cb1ef2831da59d3f19451decf66b31ece47a56896c8a233cc94cb1616c9/analysis/
https://www.virustotal.com/nl/file/676e6cb1ef2831da59d3f19451decf66b31ece47a56896c8a233cc94cb1616c9/analysis/1468048622/

Reactie was 13/rest op dat moment.

Ilja. _\\//
09-07-2016, 09:34 door Anoniem
Heb er gisteren 2 ontvangen met verschillende afzenders. Eerder heb ik er ook vertaald in slecht nederlands ontvangen. Gelukkig niets besteld en direct verwijderd. m.v.g. Thea
09-07-2016, 09:39 door Anoniem
ik heb het ook ontvangen daar ik zelf weet of ik iets besteld heb en waar gooi ik zulke mails direct weg na deze eerst doorgestuurd te hebben naar fraudedesc.
09-07-2016, 09:48 door factotum - Bijgewerkt: 09-07-2016, 09:53
hebben de personen die deze mail ontvangen hebben op donderdag ook een mail van post nl gehad over een bezorging op vrijdag dan lijkt het mij dat deze oplichters info hebben van post nl.?
hier kan je valse mail naar toe sturen (valse-email@fraudehelpdesk.nl)
09-07-2016, 12:15 door Anoniem
Deze mail heb ik ook ontvangen en gelijk verwijderd.
09-07-2016, 14:58 door Anoniem
Ik ook mail ontvangen. Niks geopend, eerst ff checken waardoor ik op deze site terecht ben gekomen.
Bedankt voor het delen!
09-07-2016, 17:15 door Anoniem
Door Anoniem: Als in een email staat: "geprobeert" ... dan moeten alle alarmbellen toch al afgaan!!!

idd domme taalfout ;) wel makkelijk dat oplichters de Nederlandse taal niet beheersen
09-07-2016, 18:35 door Anoniem
Ik zou de Nederlanders die dezelfde fout maken echt niet de kost willen geven ;o))
10-07-2016, 18:26 door Anoniem
ik heb helaas wel de mail geopend. Het pure toeval was dat ik op een pakketje zat te wachten.
Normaal is het standaard verwijderen.

Nu heb ik het virus op mijn computer waardoor bestanden onbruikbaar zijn.
Heeft iemand een idee hoe ik dit weer terug krijg?
10-07-2016, 18:57 door Anoniem
Ja hoor, voor mij ook een pakketje dat niet kon worden afgeleverd.
Die Chaufeur zou wel extra hebben gebaald toen hij bij mij aan de voordeur stond, ik Woon namelijk in Ningbo, CHINA :-)
Ach ja, al die spam het wordt met de dag erger.......
Vreemd dat ik hier in China amper spam krijg via mijn chinese mail account, toch beter geregeld hier ?
10-07-2016, 22:02 door Anoniem
Ook wij hebben een email gekregen van Buitink en ook niets besteld, de email is erg overtuigend!
Pas op!!!
11-07-2016, 01:19 door Anoniem
Hoe naief kun je zijn? De helft van de schrijvers had 'm bijna geopend.
Als je willekeurige Word documenten met macro's opent ben je gewoon niet goed snik.
11-07-2016, 08:04 door Erik van Straten
08-07-2016, 16:33 door Placebo: [...]
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
[...]
De laatste analyse door VT van die file is van 2016-07-08 15:13:39 UTC ( 2 days, 14 hours ago ), zie
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/1467990819/. Ik vind detectie nogal tegenvallen, want een aantal grote namen/veelgebruikte scanners detecteren dit bestand niet als kwaadaardig,

Ik heb "de file" zojuist gedownload vanaf bestanden.transportbedrijfbuitink.nl (198.167.137.65), het bestand is (zoals ik verwachtte) gewijzigd en wordt door 15 van 53 scanners herkend: https://www.virustotal.com/en/file/3135956e280e61d44f42928899dcb3b0105fb35b53b33f85eaa41bc0ad879d83/analysis/1468214620/. Een aantal grote namen zitten daar NIET bij: AVG, Avast, Comodo, Kaspersly, Malwarebytes, McAfee, Panda, Sophos, TrendMicro en VBA32 (maar ook anderen ontbreken).

Als je als admin denkt dat jouw gebruikers veilig zijn omdat een exemplaar werd herkend door de bij jullie gebruikte virusscanner: dat kan over een uur anders zijn!

De file die ik gedownload heb, heette "BT-32084.doc" maar feitelijk gaat het om een .docx bestand (zie ook de uitleg op 08-07-2016, 18:36 door Anoniem). Als je deze hernoemt in "BT-32084.doc.zip" kun je deze openen en zien welke bestanden erin zitten. Onder de submap "word" zijn bestanden genaamd "vbaData.xml" en "vbaProject.bin" te zien, daaruit kun je al afleiden dat er macro's inzitten. Als ik die bestanden uit de "zip file" verwijder en in Word open, krijg ik het in dat document het plaatje te zien dat in de file te vinden is als "word\media\image1.png". Dat plaatje ziet eruit als getoond in https://imgur.com/a/5snBV.
11-07-2016, 08:16 door Anoniem
Vergis ik me of krijgen veel Zeelandnet-klanten deze spam? Ik kreeg hem ook, na een bestelling via Bol.com bij een externe partner Groot en Goedkoop, met verhoudingsgewijs inderdaad erg lage prijzen. Uit reviews is op te maken dat ze nog wel eens zwaar beschadigde waar leveren. Misschien van de vrachtwagen gevallen?
11-07-2016, 08:19 door Anoniem
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:

Subject:
Mislukte afleverpoging BT-32084

Body:

Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------

Geachte heer / mevrouw,

Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)

Met vriendelijke groet,
Anna Dorst

URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/

Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/

Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100

En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/

lijkt me overduidelijk spam mail

weggooien dus
11-07-2016, 10:11 door Anoniem
wat nu als je wel wat hebt besteld?
11-07-2016, 10:35 door Anoniem
Door Anoniem: Ook wij hebben een email gekregen van Buitink en ook niets besteld, de email is erg overtuigend!
Pas op!!!

Hoezo pas op?
Ik snap het niet. Je zegt zelf dat je niks besteld hebt, en waarschijnlijk heb je nog nooit gehoord hebt van het bewuste transportbedrijf. Dan pleur je deze onzin toch direct in de digitale Jiskefet?
En hoezo overtuigende email? Er staan ook al Nederlandse spelfouten in... :-)

Woeha, leve de naïeve allesklikker!
Sorry hoor, maar wanneer leren we nu eens ons gezonde verstand te gebruiken? Als er een willekeurig iemand aan de deur komt met een opgeklopt verhaal, laten we die ook gelijk binnen, geven 'm koffie + koekje en een reservesleutel van ons huis mee, toch? ;-) Of kunnen we dan ineens WEL ons gezonde verstand gebruiken?
11-07-2016, 10:37 door Anoniem
Door Anoniem: ik heb helaas wel de mail geopend. Het pure toeval was dat ik op een pakketje zat te wachten.
Normaal is het standaard verwijderen.

Nu heb ik het virus op mijn computer waardoor bestanden onbruikbaar zijn.
Heeft iemand een idee hoe ik dit weer terug krijg?
Zucht; gezond verstand gebruiken voordat je ergens op klikt, is tegenwoordig teveel gevraagd.

Maar om je bestanden terug te halen; gewoon ff de backup terug zetten! Simpel!

of.... ga je nu vertellen dat je niet aan 'backups doet'?
11-07-2016, 16:24 door Anoniem
Helaas, mijn broer is zo ongelukkig geweest om op de link te klikken.

Resultaat :
Wildfire Locker heeft zijn bestanden versleuteld, De schade was beperkt tot deze ene pc (klein bedrijf) en een gedeelte van zijn NAS.

Wees gewaarschuwd, in office 2010 wordt dit document dus gelijk uitgevoerd.
11-07-2016, 18:02 door Anoniem
Nog eentje;


Steehouwer Transport B.V.
Fezmiweg 179
3542 CB Utrecht
--------------------------------

Geachte heer / mevrouw,

Op vrijdag 1 juli heeft een van onze chauffeurs omstreeks 10.45 geprobeert om een pakket af te leveren op het onderstaande adres:
XXXXXXXX

XXXXXXXX

Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen.
http://bestanden.steehouwertransport.nl/SH-23260-02.doc (dit formulier bevat ook informatie m.b.t. de levering)

Met vriendelijke groet,
Lisa Dorsten

De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.
11-07-2016, 20:36 door Anoniem
Aan iedereen die deze e-mail geloofwaardig vond:

Een pakketdienst/transportbedrijf komt aan je deur. Is een berichtje in je brievenbus dan niet veel voor de hand liggender dan een een e-mailadres? Het bezorgadres kennen ze altijd, dat is het enige wat ze gegarandeerd voorhanden hebben, en op het moment dat bezorgen niet lukt staan ze toch al voor je deur.

Als ze een tijdstip kunnen noemen in de e-mail, waarom verwijzen ze dan voor de details van de bestelling naar een bijlage? Waarom zie je de gegevens van de afzender en je eigen gegevens niet direct in de e-mail? Bedenk dat als die bijlage kwaadaardig is ze je zo kunnen bewegen om iets onveiligs te doen vóórdat je kan verifiëren of het klopt. Dat op zich moet alarmbellen doen afgaan, zeker als je de afzender niet kent.

En hoe zou een transporteur aan je e-mailadres moeten komen? Als jij iets besteld hebt bij een webwinkel mag die niet zomaar je e-mailadres aan een derde doorgeven. De bezorgdienst heeft het niet nodig om te kunnen bezorgen en hoort het daarom niet te krijgen van de afzender. Aan een bericht per e-mail van de bezorger zelf klopt dus hoe dan ook iets niet, dat is verdacht.

Als je bij een webwinkel iets hebt besteld dan geven ze nagenoeg allemaal aan je door welke dienst het bezorgd gaat worden. Als ze PostNL zeggen verwacht je PostNL aan de deur, als ze UPS zeggen verwacht je die, enzovoorts. Let daarop zodat je weet van wie je wat verwacht. Als niemand Buitink heeft genoemd als transporteur is het wel heel vreemd als die opeens contact met je opneemt.

Er zit dus een heleboel in die e-mail dat de alarmbellen al kan doen afgaan nog voor je aan het openen van de bijlage toe bent. Als je het toch geloofwaardig vond is het denk ik hoog tijd dat je jezelf aanleert om kritische vragen te gaan stellen bij wat er in je inbox terechtkomt. Zie mijn opsomming hierboven. Het is daarbij nuttig als je grofweg een beeld hebt bij hoe dit soort dingen worden afgehandeld. Daar is niets magisch aan, het is in wezen vrij simpel. Jij bestelt iets bij een ander, en die ander heeft gegevens van je nodig om de bestelling af te kunnen handelen, te kunnen bezorgen en om je van de status op de hoogte te kunnen houden (dat is je e-mailadres). De bezorgdienst heeft alleen een geadresseerd pakket nodig en zou je e-mailadres niet te zien mogen krijgen. Er is geen magische methode voor ondernemingen om e-mailadressen bij straatadressen te vinden, helderziend zijn ze ook niet, en dus zullen ze hun werkwijze daar niet op inrichten.

En als je toch nog twijfelt omdat je bijvoorbeeld iets van een afzemder verwacht die niet duidelijk is geweest over wie het transport gaat doen: neem contact op met die afzender en vraag hoe het zit. Pas als die Buitink noemt én zegt je e-mailadres te hebben doorgegeven kan die e-mail legitiem zijn.
12-07-2016, 09:02 door Anoniem
Door Anoniem: Aan iedereen die deze e-mail geloofwaardig vond:

Een pakketdienst/transportbedrijf komt aan je deur. Is een berichtje in je brievenbus dan niet veel voor de hand liggender dan een een e-mailadres? Het bezorgadres kennen ze altijd, dat is het enige wat ze gegarandeerd voorhanden hebben, en op het moment dat bezorgen niet lukt staan ze toch al voor je deur.

Als ze een tijdstip kunnen noemen in de e-mail, waarom verwijzen ze dan voor de details van de bestelling naar een bijlage? Waarom zie je de gegevens van de afzender en je eigen gegevens niet direct in de e-mail? Bedenk dat als die bijlage kwaadaardig is ze je zo kunnen bewegen om iets onveiligs te doen vóórdat je kan verifiëren of het klopt. Dat op zich moet alarmbellen doen afgaan, zeker als je de afzender niet kent.

En hoe zou een transporteur aan je e-mailadres moeten komen? Als jij iets besteld hebt bij een webwinkel mag die niet zomaar je e-mailadres aan een derde doorgeven. De bezorgdienst heeft het niet nodig om te kunnen bezorgen en hoort het daarom niet te krijgen van de afzender. Aan een bericht per e-mail van de bezorger zelf klopt dus hoe dan ook iets niet, dat is verdacht.

Als je bij een webwinkel iets hebt besteld dan geven ze nagenoeg allemaal aan je door welke dienst het bezorgd gaat worden. Als ze PostNL zeggen verwacht je PostNL aan de deur, als ze UPS zeggen verwacht je die, enzovoorts. Let daarop zodat je weet van wie je wat verwacht. Als niemand Buitink heeft genoemd als transporteur is het wel heel vreemd als die opeens contact met je opneemt.

Er zit dus een heleboel in die e-mail dat de alarmbellen al kan doen afgaan nog voor je aan het openen van de bijlage toe bent. Als je het toch geloofwaardig vond is het denk ik hoog tijd dat je jezelf aanleert om kritische vragen te gaan stellen bij wat er in je inbox terechtkomt. Zie mijn opsomming hierboven. Het is daarbij nuttig als je grofweg een beeld hebt bij hoe dit soort dingen worden afgehandeld. Daar is niets magisch aan, het is in wezen vrij simpel. Jij bestelt iets bij een ander, en die ander heeft gegevens van je nodig om de bestelling af te kunnen handelen, te kunnen bezorgen en om je van de status op de hoogte te kunnen houden (dat is je e-mailadres). De bezorgdienst heeft alleen een geadresseerd pakket nodig en zou je e-mailadres niet te zien mogen krijgen. Er is geen magische methode voor ondernemingen om e-mailadressen bij straatadressen te vinden, helderziend zijn ze ook niet, en dus zullen ze hun werkwijze daar niet op inrichten.

En als je toch nog twijfelt omdat je bijvoorbeeld iets van een afzemder verwacht die niet duidelijk is geweest over wie het transport gaat doen: neem contact op met die afzender en vraag hoe het zit. Pas als die Buitink noemt én zegt je e-mailadres te hebben doorgegeven kan die e-mail legitiem zijn.

Eensch, hoe kunnen mensen een mail van zo'n nepbedrijf geloofwaardig noemen als ze geen pakketje ontvangen?
Ik bestel regelmatig zaken online en van PostNL ontvang ik dan een mail dat het pakket klaar ligt bij het afleverkantoor, ik gebruik standaard pakjegemak omdat ik overdag nooit thuis ben. Maar dan weet ik inmiddels dat het bedrijf waar ik iets besteld hebt PostNL gebruikt. Als ik dan een mail van een geheel ander bedrijf zou krijgen zou ik dat niet bepaald geloofwaardig vinden. Maar goed, mensen trappen er blijkbaar nog steeds massaal in, ondanks alle waarschuwingen.
En weer door ......
12-07-2016, 10:59 door Anoniem
Hey, ik verwacht wel een pakketje! Maar heb die mails niet gehad? Kan iemand ze ff doorsturen?

thx.
15-07-2016, 10:09 door Anoniem
Door Anoniem: Ik kreeg de mail zojuist ook binnen. Maar zodra er een spelfout in de tekst staat, weet ik al dat het foute boel is.
En er zit inderdaad een spelfout in "heeft een van onze chauffeurs omstreeks 11.30 geprobeert"
Geprobeert, met een T. Zucht.
15-07-2016, 13:27 door Erik van Straten
Door Anoniem:
Door Anoniem: Ik kreeg de mail zojuist ook binnen. Maar zodra er een spelfout in de tekst staat, weet ik al dat het foute boel is.
En er zit inderdaad een spelfout in "heeft een van onze chauffeurs omstreeks 11.30 geprobeert"
Geprobeert, met een T. Zucht.
Er zouden wel eens meer spelfouten in legitieme mails kunnen zitten dan in phishing mails. Daarnaast zou je zelfs kunnen stellen dat een e-mail, verzonden door een medewerker van een transportbedrijf, waar geen spel/taalfouten in voorkomen, juist verdacht is.

Vergelijkbaar, als ik een tool had om op security.nl met een druk op een knop alle bijdragen met minstens 1 taal/spelfout erin onzichtbaar te maken, was ik véél sneller klaar met lezen - maar zou ik ook veel interessante informatie mislopen.

Als testje begin ik met de eerste regel op deze pagina:
Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:
1) de zin begint met "Zie", het lijkt daardoor om een opdracht aan de lezer te gaan. "Ik" is echter weggelaten;
2) "langs komen" moet zijn "langskomen";
3) "emails" is meervoud, "die je probeert" is enkelvoud;
4) "macro virus" moet zijn "macrovirus";
5) "te open" moet zijn "te openen".
Terzijde, @placobo: no offence meant; ik had een 5 voor Nederlands op mijn middelbare schooldiploma en heb veel liever een tijdige (vermoedelijk in de haast geschreven) bijdrage zoals die van jou, dan een late of helemaal geen bijdrage.

@Anioniem: veel succes met je nieuwe spam/phishingfilter...
15-07-2016, 14:04 door Anoniem
Snapt niemand dat deze spelfouten bewust zijn?
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
21-07-2016, 11:25 door Anoniem
vandaag 2 mails met transportbedrijfgrijpmans.nl en vlootmantransport.nl. Hiervan is registrar PDR Ltd. uit de Verenigde Arabische Emiraten. 11-07 geregistreerd.
21-07-2016, 12:48 door Anoniem
Door Anoniem: Snapt niemand dat deze spelfouten bewust zijn?
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.

Leuk verzonnen maar nee.
21-07-2016, 14:43 door Anoniem
Door Anoniem:
Door Anoniem: Snapt niemand dat deze spelfouten bewust zijn?
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.

Leuk verzonnen maar nee.

Kun je dit ook onderbouwen met argumenten, of hou je alleen van "welles/nietes spelletjes spelen" ?
22-07-2016, 10:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Snapt niemand dat deze spelfouten bewust zijn?
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.

Leuk verzonnen maar nee.

Kun je dit ook onderbouwen met argumenten, of hou je alleen van "welles/nietes spelletjes spelen" ?

Ik had dat niet geschreven, maar je moet wel onderscheid maken tussen verschillende situaties:

1. de klassieke 409-fraude waarbij er mails naar slachtoffers gestuurd worden die zelf in een dialoog moeten komen
met de fraudeur en uiteindelijk voorschotten moeten gaan betalen voor geldbedragen die ze nooit gaan krijgen.
in dat geval is het nuttig om eerst te filteren op lager opgeleide slachtoffers zodat men geen moeite hoeft te verspillen
aan een dialoog met iemand die voor er geld wordt overgemaakt in de gaten krijgt dat het een scam is.

2. de moderne (crypto)trojan methode waarbij de gebruiker malware moet installeren door alleen maar op een link te
klikken, of zelfs dat niet (alleen de mail te openen). daar speelt dit aspect niet bij, daar trappen ook hoger opgeleiden
in dus dan kun je beter een geloofwaardig mailtje hebben met zo weinig mogelijk doorzichtige fouten.
in dit geval helpt een goede systeembeheerder die er voor zorgt dat de gebruikers niet de fout in kunnen gaan en
ongewild software downloaden en runnen.
22-07-2016, 10:22 door Anoniem
Ik kreeg net een bericht met een zelfde inhoud

maar dan in combinatie met de bedrijfsnaam transportbedrijfgrijpmans

ik vermoed geen zuivere koffie
22-07-2016, 11:47 door Anoniem
Ook hier vandaag mail van 'transportbedrijf Grijpmans', verstuurd door 'Carla Woestenburg'.
23-07-2016, 23:06 door Anoniem
Zojuist een nieuwe versie van dit bericht ontvangen. Ditmaal afkomstig van "Van Hintum Transport B.V.".
Opvallend is dat dit bericht voorzien is van een volledig adres!
Uiteindelijk moet ook dit bericht de ontvanger verleiden tot het downloaden van een Word document...
25-07-2016, 11:14 door Anoniem
Wij ontvingen de mail met volledig bedrijfsadres:
Van Hintum Transport B.V.
Jool-Hulstraat 36
1327 HA Almere
Ons oude bedrijfsadres werd genoemd als afleveradres, dus op zich best geloofwaardig dat het afleveren niet gelukt is. Als bedrijf weet je niet wie de vervoerders zijn van bestellingen. Doordat ook de mail afkomstig was van het info@-bedrijfsadrdes, en geheel zonder type/schrijffouten, was het beslist niet duidelijk dat dit spam betrof.
Opletten dus!
25-07-2016, 12:14 door Anoniem
Vandaag dezelfde mail ontvangen:

Van Hintum Transport B.V.
Jool-Hulstraat 36
1327 HA Almere
--------------------------------

Geachte heer / mevrouw,

Op woensdag 22 juli heeft een van onze chauffeurs omstreeks 16.00 geprobeerd om een pakket af te leveren op het onderstaande adres.

Adres klopt niet omdat de desbetreffende straat niet verder gaat dan 24. Op Google is het bedrijf niet te vinden
30-07-2016, 20:07 door Anoniem
Vandaag een dergelijk e-mail bericht ontvangen. Ditmaal onder de noemer Brummelhuis Transport. Wij ontvangen op de zaak dagelijks veel verschillende pakketten, dus ook argeloos link geopend. Virusscanner deed gelukkig zijn werk naar behoren. Inderdaad oppassen. Blijf posten zou ik zeggen!!
01-08-2016, 15:00 door Anoniem
Zaterdag 30 juli jl.een e-mailbericht ontvangen van Brummelhuis Transport B.V. Dit paste inderdaad ook in onze situatie en helaas geopend. Gelukkig heeft de virusscanner er voor gezorgd dat het document niet geopend kon worden, maar weet niet zeker of dit nu schadelijk is voor de laptop...?! Wel erg nuttig dat e.e.a. hier gepost is; nu weten we dat dit soort mails ook niet te vertrouwen is!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.