Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Transportbedrijf Buitink B.V.
Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Reacties (125)
Ik krijg net exact de zelfde mail binnen, inclusief het zelfde leveringsnummer.
Spam!!!
Spam!!!
Zo, precies dezelfde mail ook net gehad om 16:44 uur. Gelukkig was dit topic er al!
Heb precies dezelfde mail ontvangen met dezelfde tijd.
Ga er dus maar vanuit dat dit malware is.
Ga er dus maar vanuit dat dit malware is.
Bij mij is er vandaag ook hetzelfde bericht afgeleverd. Ik werd achterdochtig doordat het e-mailadres anna@dorrestein-onderhoud.nl is en de naam in de mail Transportbedrijf Buitink is. Buitink zit conform adres in de mail in Utrecht en Dorrestein in Voorburg. De website van Buitink is ook uit de lucht.
ik heb ook zn mail gehad van transportbedrijf buitink, maar ik verwachte geen pakje.
maar goed dat ik dit transportbedrijf even google gewoon een dikke firus dus.
Nou bedankt dat dit op het internet staat.
maar goed dat ik dit transportbedrijf even google gewoon een dikke firus dus.
Nou bedankt dat dit op het internet staat.
Ik heb deze melding Gehad en aangeklikt
Niet helemaal laten laden en nu wat nu?
Niet helemaal laten laden en nu wat nu?
Net vond ik drie van die mails in mijn inbox. Ze komen allemaal van een ander mailadres.
Ook staat er niet op op welk adres het pakje zou zijn aangeboden.
Ook staat er niet op op welk adres het pakje zou zijn aangeboden.
Kreeg een mail met de zelfde inhoud, 8 juli 2016 16:41. Afzender is een persoon @ai.rug.nl (Artificial Intelligence Universiteit Groningen), niet het zogenaamde transportbedrijf en ook niet ondertekende "Anna Dorst".
De bandieten hebben zich de moeite gespaard een website in te richten: http://transportbedrijfbuitink.nl geeft een 1-regelige melding dat de site tijdelijk niet beschikbaar is wegens onderhoud.
De bandieten hebben zich de moeite gespaard een website in te richten: http://transportbedrijfbuitink.nl geeft een 1-regelige melding dat de site tijdelijk niet beschikbaar is wegens onderhoud.
heb idd zn mailtje ontvangen
PAS op met openen, zit virus in
ik was zo alert om het gelukkig eerst te controleren op internet
omdat ik geen pakje verwacht.
PAS op met openen, zit virus in
ik was zo alert om het gelukkig eerst te controleren op internet
omdat ik geen pakje verwacht.
Heb vandaag ook zo'n mail ontvangen. Links lijken betrouwbaar, maar toch niet uitgeprobeerd. Weet bedrif Buitink hiervan?
Johan
Johan
Correct, wij hebben ook meerdere mails binnen gekregen op veel verschillende domeinen.
Wij hebben onze email servers moeten stoppen vanwege grote overload met deze berichten. Tekst en karakter is gelijk aan beschreven bericht.
Zijn er tips om deze ellende buiten de deur te houden. Ondanks dat een groot gedeelte wordt onderschept komen sommige berichten toch nog door de beveiliging.
Zijn er tips om deze ellende buiten de deur te houden. Ondanks dat een groot gedeelte wordt onderschept komen sommige berichten toch nog door de beveiliging.
Email is afkomstig van IP 93.185.21.99
% Abuse contact for '93.185.16.0 - 93.185.23.255' is 'abuse@rt.ru'
inetnum: 93.185.16.0 - 93.185.23.255
netname: LENOBL-ADSL-AVANGARD-NET
descr: OJSC "Rostelecom" Macroregional Branch North-West
country: RU
admin-c: RCR3-RIPE
tech-c: RCR3-RIPE
status: ASSIGNED PA
mnt-by: AS8997-MNT
mnt-by: ROSTELECOM-MNT
created: 2013-06-05T10:53:11Z
last-modified: 2013-06-05T10:53:11Z
source: RIPE
role: ru.spbnit contact role
address: OJSC Rostelecom
address: Macro-regional branch Northwest
address: 14/26 Gorokhovaya str. (26 Bolshaya Morskaya str.)
address: 191186, St.-Petersburg
address: Russia
phone: +7 812 595 45 56
remarks: --------------------------------------------
admin-c: IS111-RIPE
tech-c: IS111-RIPE
tech-c: AA728-RIPE
tech-c: ES1680-RIPE
tech-c: AMYU-RIPE
tech-c: VE128-RIPE
tech-c: TL4565-RIPE
tech-c: TR4627-RIPE
nic-hdl: RCR3-RIPE
remarks: --------------------------------------------
remarks: Spam & Abuse: abuse(at)dtd.ptn.ru
remarks: General questions: ip-noc(at)nw.rt.ru
remarks: Routing & peering: ip-noc(at)nw.rt.ru
remarks: --------------------------------------------
abuse-mailbox: abuse@dtd.ptn.ru
mnt-by: AS8997-MNT
created: 2002-09-04T09:29:24Z
last-modified: 2015-08-10T07:09:16Z
source: RIPE Filtered
% Information related to '93.185.16.0/20AS12389'
route: 93.185.16.0/20
descr: OJSC Rostelecom Macroregional Branch North-West
origin: AS12389
mnt-by: ROSTELECOM-MNT
created: 2013-06-06T10:06:52Z
last-modified: 2013-06-06T10:06:52Z
source: RIPE
% Abuse contact for '93.185.16.0 - 93.185.23.255' is 'abuse@rt.ru'
inetnum: 93.185.16.0 - 93.185.23.255
netname: LENOBL-ADSL-AVANGARD-NET
descr: OJSC "Rostelecom" Macroregional Branch North-West
country: RU
admin-c: RCR3-RIPE
tech-c: RCR3-RIPE
status: ASSIGNED PA
mnt-by: AS8997-MNT
mnt-by: ROSTELECOM-MNT
created: 2013-06-05T10:53:11Z
last-modified: 2013-06-05T10:53:11Z
source: RIPE
role: ru.spbnit contact role
address: OJSC Rostelecom
address: Macro-regional branch Northwest
address: 14/26 Gorokhovaya str. (26 Bolshaya Morskaya str.)
address: 191186, St.-Petersburg
address: Russia
phone: +7 812 595 45 56
remarks: --------------------------------------------
admin-c: IS111-RIPE
tech-c: IS111-RIPE
tech-c: AA728-RIPE
tech-c: ES1680-RIPE
tech-c: AMYU-RIPE
tech-c: VE128-RIPE
tech-c: TL4565-RIPE
tech-c: TR4627-RIPE
nic-hdl: RCR3-RIPE
remarks: --------------------------------------------
remarks: Spam & Abuse: abuse(at)dtd.ptn.ru
remarks: General questions: ip-noc(at)nw.rt.ru
remarks: Routing & peering: ip-noc(at)nw.rt.ru
remarks: --------------------------------------------
abuse-mailbox: abuse@dtd.ptn.ru
mnt-by: AS8997-MNT
created: 2002-09-04T09:29:24Z
last-modified: 2015-08-10T07:09:16Z
source: RIPE Filtered
% Information related to '93.185.16.0/20AS12389'
route: 93.185.16.0/20
descr: OJSC Rostelecom Macroregional Branch North-West
origin: AS12389
mnt-by: ROSTELECOM-MNT
created: 2013-06-06T10:06:52Z
last-modified: 2013-06-06T10:06:52Z
source: RIPE
Ik kreeg de mail zojuist ook binnen. Maar zodra er een spelfout in de tekst staat, weet ik al dat het foute boel is.
Heb ook een e-mail van Transportbedrijf Buitink in Utrecht ontvangen, terwijl de inhoud niet overeenkomt met onze aanwezigheid op dat tijdstip.
Naar mijn idee volstrekte nep een meldingswaardig.
Naar mijn idee volstrekte nep een meldingswaardig.
Ja zie ze hier ook voorbij komen, geregistreerd in de Arabische Emiraten en gehost in de Us of A.
Jammer dat ze meermaals in de mailbox terecht komen met zogenaamd verschillende afzenders wat een en ander wat onwaarschijnlijker maakt. Maar des al niet te min aardig overtuigend.
Jammer dat ze meermaals in de mailbox terecht komen met zogenaamd verschillende afzenders wat een en ander wat onwaarschijnlijker maakt. Maar des al niet te min aardig overtuigend.
MIjn vader heeft in een onbedachtzaam moment deze bijlage geopend op zijn Mac laptop.
Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.
Groetjes Danique
Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.
Groetjes Danique
Ik heb precies dezelfde mail ontvangen...
Vond het vreemd dat er geen telefoonnummer bij stond, toch maar even gegoogeld.
Ik verwachtte wel nog een pakket komende week.
Ik weet weer genoeg.
Vond het vreemd dat er geen telefoonnummer bij stond, toch maar even gegoogeld.
Ik verwachtte wel nog een pakket komende week.
Ik weet weer genoeg.
ja ik heb hem ook net gehad en vond het twijfelachtig dus heb het niet geopend en eerst gegoogled en kwam zo ook hier terrecht
kreeg hem ook binnen en toch geopend helaas, deze leek wel heel goed en kon ook goed in mijn situatie passen. Toch geopend maar word gaf aan dat het met een oude versie was gemaakt dus toen enig wantrouwen en weggeklikt, denk niet dat het nu al schade heeft veroorzaakt?
Ik heb er zojuist ook een binnen gekregen. Maar niets geopend.
Ik zit wel te wachten op een bestelling van ToolNation, nml. een bankschroef. Die blijft lang weg vanwege de (te) lange duur van een bankoverschrijving. Vandaar dat ik enkele keren per mail contact heb gehad met ToolNation over de bestelling en overschrijving. ik vraag mij af of er een verband bestaat met ToolNation en dit dergelijke crimineel bericht???
Ik zit wel te wachten op een bestelling van ToolNation, nml. een bankschroef. Die blijft lang weg vanwege de (te) lange duur van een bankoverschrijving. Vandaar dat ik enkele keren per mail contact heb gehad met ToolNation over de bestelling en overschrijving. ik vraag mij af of er een verband bestaat met ToolNation en dit dergelijke crimineel bericht???
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@transportbedrijfbuitink.nl http://bestanden.transportbedrijfbuitink.nl/BT-32084.doc (dit formulier bevat ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen naar info@transportbedrijfbuitink.nl http://bestanden.transportbedrijfbuitink.nl/BT-32084.doc (dit formulier bevat ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.
Ik kreeg deze mail ook om 17:02 uur. Omdat hij me vreemd toe leek en er ook nog een Duits mailadres bovenstond, heb ik eerst (niet via die link maar via google) jullie site opgezocht. Fijn dat dit bericht meteen goed zichtbaar op jullie site staat! Dank je wel.
Binnen een uur al 2 keer deze mail ontvangen van 2 verschillende afzenders
Wij zijn een zaak die van 08.00 tot 18.00 uur geopend is dus de melding dat afleveren niet mogelijk was om 11.30 uur kan niet kloppen.
Vandaar onze argwaan
Wij zijn een zaak die van 08.00 tot 18.00 uur geopend is dus de melding dat afleveren niet mogelijk was om 11.30 uur kan niet kloppen.
Vandaar onze argwaan
Je BT-32084.doc gedownload en bekeken (zonder eerst naar VT te gaan ;)
Lijkt inderdaad een word document dat 'niet helemaal lekker in elkaar' zit.
Het lijkt me niet verstandig dit in een MS Office omgeving te openen en macro's in te schakelen.
Het doc geeft bij mij in een Niet WinOS omgeving met andere programma's in ieder geval foutmeldingen bij proberen te openen van het document (o.a. LibreOffice).
Dit is de document structuur van het 'doc' dat ik uiteindelijk zie
Het plaatje en het bin file geven niet leesbare code.
E.e.a. nader bekeken.
In het png plaatje, waarvan me niet duidelijk is of het zelf al malware code bevat, staat de volgende informatie
Opmerkelijk is het verschil tussen de Engelse Tekst en de Nederlandse, de toevoeging van de frase "gele balk" lijkt erop te duiden dat de maker geen translator heeft gebruikt om Engelse tekst naar Nederlandse om te zetten maar dat het door iemand gedaan is die het Nederlands zelf beheerst.
Niet zo gek want deze phishingmail is ook geheel in het Nederlands, met hier en daar een toch nog 'spelfoudt' in de email..
Zou het dan een echte Hollandse schuinsmarcheerder zijn?
Gezien de onkennis van dees en tees.
Je weet het niet.
Twijfels;)
Verder gekeken geeft de maker alsnog wel wat weg aan interessevoorkeuren en misschien wel een mogelijke afkomst.
Een hex dump van de code uit de bin-file, op zoek naar iets van een domein of ip adres om meer rotzooi binnen te halen, levert bij terugkering de volgende reeks van letters op:
Tony Montana?
Dat lijkt me een Italiaan.
Zocht willekeurig wat op "Tony Montana Z Rana Jak" kreeg ik steeds resultaten van poolse websites, diverse pagina's met lyrics.
"Z Rana Jak" door een online translator gehaald dan levert op, "Polish detected".
En vertalingen als : "Met Rana Hoe" , "With Rana How" .
Who the .. is Rana?
Een of andere onontdekte poolse celeb?
Nederlands/Pools, Pools/Nederlands met Italiaanse filmvoorkeur?
Verder 'Word' ik er niet veel wijzer van (als 'hobbysecuritydummie' ;), behalve dan dat de kans bestaat dat iemand die hier buiten de bekende paden wat aan het bijklussen is.
En dat de kans groot is dat we deze keer die klusser nou net niet in ons (virtuele) huis willen hebben.
In mijn LibreOffice werkte deze vba-macro niet.
Waar ik nog wel benieuwd naar ben of deze vermoedelijke ellende ook niet zou werken in een LibreOffice versie voor Windows (opgepast met experimenteren!).
Ik gun het 'jullie' van harte, LibreOffice.
In zijn algemeen en zeker als het je vrijwaart van dit soort macro malware.
LibreOffice?
https://www.libreoffice.org/download/libreoffice-fresh/
Gratis!
En ongevaarlijk.
Aardig meegenomen: we hebben er in ieder geval een filmklassiekertip bij.
Lijkt inderdaad een word document dat 'niet helemaal lekker in elkaar' zit.
Het lijkt me niet verstandig dit in een MS Office omgeving te openen en macro's in te schakelen.
Het doc geeft bij mij in een Niet WinOS omgeving met andere programma's in ieder geval foutmeldingen bij proberen te openen van het document (o.a. LibreOffice).
Dit is de document structuur van het 'doc' dat ik uiteindelijk zie
[Content_Types].xml
_rels\.rels
customXml\_rels\item1.xml.rels
customXml\item1.xml
customXml\itemProps1.xml
docProps\app.xml
docProps\core.xml
word\_rels\document.xml.rels
word\_rels\vbaProject.bin.rels
word\document.xml
word\fontTable.xml
word\media\image1.png
word\numbering.xml
word\settings.xml
word\styles.xml
word\theme\theme1.xml
word\vbaData.xml
word\vbaProject.bin
word\webSettings.xml
_rels\.rels
customXml\_rels\item1.xml.rels
customXml\item1.xml
customXml\itemProps1.xml
docProps\app.xml
docProps\core.xml
word\_rels\document.xml.rels
word\_rels\vbaProject.bin.rels
word\document.xml
word\fontTable.xml
word\media\image1.png
word\numbering.xml
word\settings.xml
word\styles.xml
word\theme\theme1.xml
word\vbaData.xml
word\vbaProject.bin
word\webSettings.xml
Het plaatje en het bin file geven niet leesbare code.
E.e.a. nader bekeken.
In het png plaatje, waarvan me niet duidelijk is of het zelf al malware code bevat, staat de volgende informatie
Office
This document has been made in an old version of Microsoft Word.
This document is only available on computer and laptop versions of Microsoft Word.
In order to display this document you will first have to click "Enable Editing" and then
click "Enable Content" on the top of the page.
____________________________
Dit document is gemaakt met een oude versie van Microsoft Word.
Dit document is alleen beschikbaar op computer versies van Microsoft Word.
Om dit document weer te geven dient u eerst op "Bewerken inschakelen" te klikken en
vervolgens op "Inhoud inschakelen" te klikken in de gele balk boven aan de pagina.
This document has been made in an old version of Microsoft Word.
This document is only available on computer and laptop versions of Microsoft Word.
In order to display this document you will first have to click "Enable Editing" and then
click "Enable Content" on the top of the page.
____________________________
Dit document is gemaakt met een oude versie van Microsoft Word.
Dit document is alleen beschikbaar op computer versies van Microsoft Word.
Om dit document weer te geven dient u eerst op "Bewerken inschakelen" te klikken en
vervolgens op "Inhoud inschakelen" te klikken in de gele balk boven aan de pagina.
Opmerkelijk is het verschil tussen de Engelse Tekst en de Nederlandse, de toevoeging van de frase "gele balk" lijkt erop te duiden dat de maker geen translator heeft gebruikt om Engelse tekst naar Nederlandse om te zetten maar dat het door iemand gedaan is die het Nederlands zelf beheerst.
Niet zo gek want deze phishingmail is ook geheel in het Nederlands, met hier en daar een toch nog 'spelfoudt' in de email..
Zou het dan een echte Hollandse schuinsmarcheerder zijn?
Gezien de onkennis van dees en tees.
Je weet het niet.
Twijfels;)
Verder gekeken geeft de maker alsnog wel wat weg aan interessevoorkeuren en misschien wel een mogelijke afkomst.
Een hex dump van de code uit de bin-file, op zoek naar iets van een domein of ip adres om meer rotzooi binnen te halen, levert bij terugkering de volgende reeks van letters op:
Tony Montana Z Rana Jak
Tony Montana?
Dat lijkt me een Italiaan.
Zocht willekeurig wat op "Tony Montana Z Rana Jak" kreeg ik steeds resultaten van poolse websites, diverse pagina's met lyrics.
"Z Rana Jak" door een online translator gehaald dan levert op, "Polish detected".
En vertalingen als : "Met Rana Hoe" , "With Rana How" .
Who the .. is Rana?
Een of andere onontdekte poolse celeb?
Nederlands/Pools, Pools/Nederlands met Italiaanse filmvoorkeur?
Verder 'Word' ik er niet veel wijzer van (als 'hobbysecuritydummie' ;), behalve dan dat de kans bestaat dat iemand die hier buiten de bekende paden wat aan het bijklussen is.
En dat de kans groot is dat we deze keer die klusser nou net niet in ons (virtuele) huis willen hebben.
In mijn LibreOffice werkte deze vba-macro niet.
Waar ik nog wel benieuwd naar ben of deze vermoedelijke ellende ook niet zou werken in een LibreOffice versie voor Windows (opgepast met experimenteren!).
Ik gun het 'jullie' van harte, LibreOffice.
In zijn algemeen en zeker als het je vrijwaart van dit soort macro malware.
LibreOffice?
https://www.libreoffice.org/download/libreoffice-fresh/
Gratis!
En ongevaarlijk.
Aardig meegenomen: we hebben er in ieder geval een filmklassiekertip bij.
Ik heb er al 2 gehad van verschillende bedrijven op een oud mail-adres dat nog net doorgeleid is. De gemene deler is Transportbedrijf Buitink. Het lijkt heel echt. Monique
Bevestig bovenstaand verhaal.
Vandaag ontvangen.
Ziet er idd netjes uit maar daar trappen we niet in.
Vandaag ontvangen.
Ziet er idd netjes uit maar daar trappen we niet in.
Ik had hem ook. Inderdaad een overtuigende mail. Oppassen!
De afzender was bij mij informatie@america.nl Dit was dan ook het enige vreemde aan de mail.
Dank voor je post, ik stond op het punt om op de link te klikken!
De afzender was bij mij informatie@america.nl Dit was dan ook het enige vreemde aan de mail.
Dank voor je post, ik stond op het punt om op de link te klikken!
Ik heb exact en 1-op-1 dezelfde mail ontvangen vandaag 8 juli om 16:26.
Dezelfde afzender, zelfde datum in bericht etc.
De mail komt van het emailadres:
m.a.devreede@beurse.nl
Bij nader onderzoek in de broncode van dit emailbericht komen er 2 vreemde IP-adressen naar boven:
- 14.176.51.89 (IP-adres gelocaliseerd in Vietnam)
- 92.229.55.32 (IP-adres gelocaliseerd in Duitsland)
Het mag duidelijk zijn dat dit geen zuivere koffie is.
Niets van de bijlages openen en gelijk in de prullenbak ermee!
Vriendelijke groet.
Dezelfde afzender, zelfde datum in bericht etc.
De mail komt van het emailadres:
m.a.devreede@beurse.nl
Bij nader onderzoek in de broncode van dit emailbericht komen er 2 vreemde IP-adressen naar boven:
- 14.176.51.89 (IP-adres gelocaliseerd in Vietnam)
- 92.229.55.32 (IP-adres gelocaliseerd in Duitsland)
Het mag duidelijk zijn dat dit geen zuivere koffie is.
Niets van de bijlages openen en gelijk in de prullenbak ermee!
Vriendelijke groet.
Oke. Wat is er gebeurd met, email waarvan je de afzender niet kent verwijderen?
Geachte l.s.
vanmiddag inderdaad deze e-mail ontvangen op mijn zeelandnet account. Ik heb mijn provider hierover geïnformeerd
met vr gr
Louis.
vanmiddag inderdaad deze e-mail ontvangen op mijn zeelandnet account. Ik heb mijn provider hierover geïnformeerd
met vr gr
Louis.
Wil danken voor de waarschuwing. Ontving vandaag exact dit mailtje en vertrouwde het niet. Had namelijk niets besteld. Bij intypen van 'transportbedrijf Buitink' kwam ik bij deze waarschuwing. Zal de waarschuwing met link naar jullie, verder verspreiden.
Met vriendelijke groet,
Frits ten Hove
Met vriendelijke groet,
Frits ten Hove
Wat een onzin levering om zo laat hele dag thuis en als jullie iets afleveren stuur dan eerst mail of zo maar is gewoon Spam
Thnx,
ik zit wel op een pakket te wachten maar twee mailtjes van dit bedrijf en twee verschillende email adressen : mimoun@goudstikker.nl en het minder realistische rob.hartman@amc.uva.nl was genoeg om eerst even research te doen.
Mijn pakket komt later en mijn pc is gered.
ik zit wel op een pakket te wachten maar twee mailtjes van dit bedrijf en twee verschillende email adressen : mimoun@goudstikker.nl en het minder realistische rob.hartman@amc.uva.nl was genoeg om eerst even research te doen.
Mijn pakket komt later en mijn pc is gered.
ik heb nu al 4 mailtjes van binnen gekregen met dit soort ongein.
4 mailtjes met ieder een afgezonderde afzenders.
4 mailtjes met ieder een afgezonderde afzenders.
ik heb deze mail ook ontvangen, exact dezelfde tekst
op 3 van mijn mailadressen allen van verschillende afzenders.
ik voelde al meteen nattigheid, snel verwijderen dus.
op 3 van mijn mailadressen allen van verschillende afzenders.
ik voelde al meteen nattigheid, snel verwijderen dus.
Ik zie deze mail ook. De afzender van deze mail is in mijn geval : Karin.van.den.Akker@Vitabypoels.nl
Ziet er gelijk fake uit....
Richard Amsterdam.
Ziet er gelijk fake uit....
Richard Amsterdam.
Ik heb net ook deze mail binnen en ben eerst naar de site gaan zoeken van dit bedrijf en kwam dus gelijk op deze site en weet voldoende , dank hier voor.
Merkwaardig. Wij hebben precies dezelfde eMail ontvangen. Chauffeurs komen dus op verschillende adressen op exact het zelfde tijdstip !!
Dank voor uw terugkoppeling wij vertrouwden dit al niet. Wij hebben in totaal drie e-mails binnen gehad met precies dezelfde tekst. De afzenders waren: rdzialach@oku.nl / noblednobledo@goudstikker.nl & emailpaul@meezuidoostbrabant.nl
Hoe verzin je dit soort adressen bij een transportbedrijf? De eerste (na @) is een groothandel, de tweede is een ingenieursbureau en de derde is stichting MEE.....
Hoe verzin je dit soort adressen bij een transportbedrijf? De eerste (na @) is een groothandel, de tweede is een ingenieursbureau en de derde is stichting MEE.....
De grap van het ook door mij ontvangen mailtje is, dat ik gisteren niet thuis was op genoemd tijdstip, maar...... de enige die dat kon weten is de leverancier van de online tickets voor Blijdorp. Zijn er meer mensen met de traktatie van een mailtje én online kaartAANkoop?
Om 18.39 uur heb ik precies hetzelfde bericht gekregen van het e-mailadres marly.peeters@ross.nl. Die chauffeur heeft het druk gehad om 11.30 uur!
Door Anoniem: Hetzelfde bericht zojuist ontvangen, maar niks besteld.
Dezelfde mail ontvangen.
Niet geopend omdat ik geen pakketje verwacht.
Goed dat ik jullie meldingen allemaal zie,
Dank voor jullie reacties.
Niet geopend omdat ik geen pakketje verwacht.
Goed dat ik jullie meldingen allemaal zie,
Dank voor jullie reacties.
Dezelfde email ontvangen maar niet op gereageerd. Verwachte wel een pakje en was donderdagmorgen niet thuis.
Pakje is bij de buren afgegeven. Buitink ken ik niet dus niets gedaan.
Pakje is bij de buren afgegeven. Buitink ken ik niet dus niets gedaan.
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
kijk op deze site hoe gevaarlijk het is
kijk op deze site hoe gevaarlijk het is
heb exact dezelfde mail ontvangen (Hoekse Waard): chauffeur moet een echte duizendpoot zijn.
In ieder geval had Avast virusscan eea netjes er uit gevist.
In ieder geval had Avast virusscan eea netjes er uit gevist.
08-07-2016, 20:52 door
Boekenwurm
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
08-07-2016, 20:54 door
Boekenwurm
Ook dezelfde mail gekregen, maar verwachtte geen zending. Kreeg direct argwaan!
Ze worden vindingrijk! Arme chauffeur idd:)
Ze worden vindingrijk! Arme chauffeur idd:)
Hier ook zo'n email ontvangen. Verwijderd want was meteen duidelijk dat het niet klopte
Het mailtje komt vanaf dit adres:
Springstreet 27, Rotherham England.
Ik heb een IP search uitgevoerd, hier een directe link naar het resultaat
:
http://aruljohn.com/ip/2.216.187.84
Je ziet hier een Kaart van Google Maps en met Streetview kun je zien dat het een heel klein huisje is
Heb ook al een abuse melding gedaan bij Sky, hoopt dat ze die lui aanpakken.:
Hello,
Got this spam/phishing mail in dutch, appears to be from someone with sky broadband.
It tells in very bad misspelled dutch about a package that wasn’t delivered and that we should contact an address in Utrecht, the Netherlands.
Can you do something about this?
I sent the mail with full headers and a link to an address.
This is the address where it is sent from, Springstreet 27, Rotherham, England.
This a direct link to the result of the ip search:
http://aruljohn.com/ip/2.216.187.84
Rob uit Alkmaar
Springstreet 27, Rotherham England.
Ik heb een IP search uitgevoerd, hier een directe link naar het resultaat
:
http://aruljohn.com/ip/2.216.187.84
Je ziet hier een Kaart van Google Maps en met Streetview kun je zien dat het een heel klein huisje is
Heb ook al een abuse melding gedaan bij Sky, hoopt dat ze die lui aanpakken.:
Hello,
Got this spam/phishing mail in dutch, appears to be from someone with sky broadband.
It tells in very bad misspelled dutch about a package that wasn’t delivered and that we should contact an address in Utrecht, the Netherlands.
Can you do something about this?
I sent the mail with full headers and a link to an address.
This is the address where it is sent from, Springstreet 27, Rotherham, England.
This a direct link to the result of the ip search:
http://aruljohn.com/ip/2.216.187.84
Rob uit Alkmaar
Ik heb ook twee van dit soort mailtjes binnen. mijn Spamassassin software markeerde hem al als spam. Toch nog even een dubbelcheck. Transbortbedrijf Buitink is nu extra toegevoegd in mijn spamfilter zodat ik deze mailtjes helemaal niet meer krijg. GNA GNA
Ook net zo.n mail binnen gekregen en doorgestuurd naar abuse@zeelandnetbv.nl...de afzender was j.ouddijk@space.nl en ze doen het waarschijnlijk met verscillende adressen...heb het ook op facebook gezet als waarschuwing voor andere mensen
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Ik kreeg de mail 5x binnen met verschillende namenSubject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Door Anoniem: Hetzelfde bericht zojuist ontvangen, maar niks besteld.
me too
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Ok de mail ontvangen. Wij verwachten wel een pakket. Dus erg verleidelijk om te openen. Gelukkig even gegoogeld en jullie reacties gezien.Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Vandaag 8 juli 2016 meteen maar 7 van deze oplichtersmails binnen gekregen met de volgende afzenders maar dezelfde tekst
s.geldof@john-wetzels.nl 6:21 pm Mislukte afleverpoging BT-32084
j.mokkenstorm@dr.nassaucollege.nl 6:11 pm Mislukte afleverpoging BT-32084
gwmsprakel@magellanes.nl 6:03 pm Mislukte afleverpoging BT-32084
e.w.a.timmerman@transperfect.nl 5:16 pm Mislukte afleverpoging BT-32084
michael@foodspecialist.nl 4:50 pm Mislukte afleverpoging BT-32084
ramona@djrichie.nl 3:44 pm Mislukte afleverpoging BT-32084
siqing_47@eu.hannspree.com 3:33 pm Mislukte afleverpoging BT-32084
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30
geprobeert om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te
downloaden, in te vullen en retour te mailen naar
info@transportbedrijfbuitink.nl
http://bestanden.transportbedrijfbuitink.nl/BT-32084.doc (dit formulier
bevat ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
De informatie verzonden in dit e-mail bericht is automatisch gegenereerd
en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze
informatie door anderen dan de geadresseerde is verboden.
s.geldof@john-wetzels.nl 6:21 pm Mislukte afleverpoging BT-32084
j.mokkenstorm@dr.nassaucollege.nl 6:11 pm Mislukte afleverpoging BT-32084
gwmsprakel@magellanes.nl 6:03 pm Mislukte afleverpoging BT-32084
e.w.a.timmerman@transperfect.nl 5:16 pm Mislukte afleverpoging BT-32084
michael@foodspecialist.nl 4:50 pm Mislukte afleverpoging BT-32084
ramona@djrichie.nl 3:44 pm Mislukte afleverpoging BT-32084
siqing_47@eu.hannspree.com 3:33 pm Mislukte afleverpoging BT-32084
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30
geprobeert om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te
downloaden, in te vullen en retour te mailen naar
info@transportbedrijfbuitink.nl
http://bestanden.transportbedrijfbuitink.nl/BT-32084.doc (dit formulier
bevat ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
De informatie verzonden in dit e-mail bericht is automatisch gegenereerd
en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze
informatie door anderen dan de geadresseerde is verboden.
Heb vandaag 2 soortgelijke e-mails ontvangen. Heb deze aangeklikt en gelezen.
De in de email vermelde link heb ik niet bekeken. Beide e-mails heb ik daarna
gelijk verwijdert.
Kan er nu spam en/of een virus op mijn computer staan?
Op mijn computer staat trouwens een Kaspersky viruskiller.
De in de email vermelde link heb ik niet bekeken. Beide e-mails heb ik daarna
gelijk verwijdert.
Kan er nu spam en/of een virus op mijn computer staan?
Op mijn computer staat trouwens een Kaspersky viruskiller.
Door Anoniem: MIjn vader heeft in een onbedachtzaam moment deze bijlage geopend op zijn Mac laptop.
Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.
Groetjes Danique
Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.
Groetjes Danique
Nee dat doet niets op je Mac, ik heb er naar gekeken, op een Mac.
Het is windows malware, business as usual.
Slim van hem om direct het internet af te sluiten maar in principe is malware sneller met binnenhalen van rotzooi dan jij met met je ogen kan knipperen.
Groet van 'Roberd te Niroo'
;)
Hallo.
Ik heb deze mail ook ontvangen. Geopend, stom!
Ik verwacht nl een pakketje. Ik las en vond het vreemd... Ik heb niet op de link geklikt.
Krijg ik nu alsnog het virus?
Ik heb deze mail ook ontvangen. Geopend, stom!
Ik verwacht nl een pakketje. Ik las en vond het vreemd... Ik heb niet op de link geklikt.
Krijg ik nu alsnog het virus?
Ik heb exact dezelfde mail ontvangen. Heb geprobeerd hem te openen (de link) via meerdere programma's. Achteraf stom maar het kwam zogenaamd uit Utrecht waar iemand woont die ik ken. Zou ik nu een virus op mijn telefoon kunnen hebben?
Als in een email staat: "geprobeert" ... dan moeten alle alarmbellen toch al afgaan!!!
Hier ook hetzelfde bericht, wel door mijn provider met spam ervoor aangemerkt...ontvangen 7/7 om 17:35
Door Anoniem: Ik heb deze melding Gehad en aangeklikt
Niet helemaal laten laden en nu wat nu?
Zolang je de link naar het word bestand niet aanklikt is er niets aan de hand.Niet helemaal laten laden en nu wat nu?
Geld ook voor heel veel meer van dit soort mails.
09-07-2016, 00:58 door
Ibrahim
Door Anoniem: MIjn vader heeft in een onbedachtzaam moment deze bijlage geopend op zijn Mac laptop.
Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.
Groetjes Danique
Waarschijnlijk geen probleem met Mac. Meestal zijn virussen alleen gevaarlijk voor Windows.Weet iemand wat hij moet doen?
Hij heeft al wel direct zijn internet afgesloten op zijn laptop.
Groetjes Danique
Voor de zekerheid eerst even een virusscanner uitvoeren. Heb geen ervaring met Mac dus weet niet welke scanner je moet gebruiken.
Willen degene die afzender emailadressen hebben vermeld deze verwijderen of in ieder geval onbruikbaar maken? Dat voorkomt spam voor mensen die er helemaal niets mee te maken hebben. Afzender adressen worden vaak vervalst en hier is dat ook zo.
transportbedrijfbuitink punt nl is een 100% spam domein. Het is geen domein in gebruik door een bedrijf.
Dit zijn whois gegevens:
Registrar:
PDR Ltd.
P.O. Box #16113
UAE
United Arab Emirates
Domain nameservers:
ns2.dnsserver1.xyz
ns1.dnsserver1.xyz
Deze name server is kwaadaardig. Het serveert deze domeinen:
beekumtransport punt nl
hoffmantransport punt nl
maatmantransport punt nl
stegerstransport punt nl
weerdematransport punt nl
hoevenaartransport punt nl
steehouwertransport punt nl
transportbedrijfbuitink punt nl
Blokkeer al deze domeinen.
transportbedrijfbuitink punt nl is een 100% spam domein. Het is geen domein in gebruik door een bedrijf.
Dit zijn whois gegevens:
Registrar:
PDR Ltd.
P.O. Box #16113
UAE
United Arab Emirates
Domain nameservers:
ns2.dnsserver1.xyz
ns1.dnsserver1.xyz
Deze name server is kwaadaardig. Het serveert deze domeinen:
beekumtransport punt nl
hoffmantransport punt nl
maatmantransport punt nl
stegerstransport punt nl
weerdematransport punt nl
hoevenaartransport punt nl
steehouwertransport punt nl
transportbedrijfbuitink punt nl
Blokkeer al deze domeinen.
Ik heb gisteren deze mail ook gehad via mijn Zeelandnet mail afkomstig van een zeelandnetadres
Ik verwacht wel een pakket en heb op de link gedrukt
Ik heb een iPhone en kreeg de melding kan bestand niet vinden/openen
Is mijn telefoon nu besmet met een virus of is het geblokt omdat het niet geopend werd?
Ik verwacht wel een pakket en heb op de link gedrukt
Ik heb een iPhone en kreeg de melding kan bestand niet vinden/openen
Is mijn telefoon nu besmet met een virus of is het geblokt omdat het niet geopend werd?
Ik heb de voorloper van deze e-mail ontvangen, volgens mij:
Leeg bericht, verzonden vanaf zgn. mijn e-mail, met een .doc!M! bijlage. IP:200.188.129.90
Ingezonden op VirusTotal, als tweede:
https://www.virustotal.com/nl/file/676e6cb1ef2831da59d3f19451decf66b31ece47a56896c8a233cc94cb1616c9/analysis/
https://www.virustotal.com/nl/file/676e6cb1ef2831da59d3f19451decf66b31ece47a56896c8a233cc94cb1616c9/analysis/1468048622/
Reactie was 13/rest op dat moment.
Ilja. _\\//
Leeg bericht, verzonden vanaf zgn. mijn e-mail, met een .doc!M! bijlage. IP:200.188.129.90
Ingezonden op VirusTotal, als tweede:
https://www.virustotal.com/nl/file/676e6cb1ef2831da59d3f19451decf66b31ece47a56896c8a233cc94cb1616c9/analysis/
https://www.virustotal.com/nl/file/676e6cb1ef2831da59d3f19451decf66b31ece47a56896c8a233cc94cb1616c9/analysis/1468048622/
Reactie was 13/rest op dat moment.
Ilja. _\\//
Heb er gisteren 2 ontvangen met verschillende afzenders. Eerder heb ik er ook vertaald in slecht nederlands ontvangen. Gelukkig niets besteld en direct verwijderd. m.v.g. Thea
ik heb het ook ontvangen daar ik zelf weet of ik iets besteld heb en waar gooi ik zulke mails direct weg na deze eerst doorgestuurd te hebben naar fraudedesc.
hebben de personen die deze mail ontvangen hebben op donderdag ook een mail van post nl gehad over een bezorging op vrijdag dan lijkt het mij dat deze oplichters info hebben van post nl.?
hier kan je valse mail naar toe sturen (valse-email@fraudehelpdesk.nl)
hier kan je valse mail naar toe sturen (valse-email@fraudehelpdesk.nl)
Ik ook mail ontvangen. Niks geopend, eerst ff checken waardoor ik op deze site terecht ben gekomen.
Bedankt voor het delen!
Bedankt voor het delen!
Door Anoniem: Als in een email staat: "geprobeert" ... dan moeten alle alarmbellen toch al afgaan!!!
idd domme taalfout ;) wel makkelijk dat oplichters de Nederlandse taal niet beheersen
Ik zou de Nederlanders die dezelfde fout maken echt niet de kost willen geven ;o))
ik heb helaas wel de mail geopend. Het pure toeval was dat ik op een pakketje zat te wachten.
Normaal is het standaard verwijderen.
Nu heb ik het virus op mijn computer waardoor bestanden onbruikbaar zijn.
Heeft iemand een idee hoe ik dit weer terug krijg?
Normaal is het standaard verwijderen.
Nu heb ik het virus op mijn computer waardoor bestanden onbruikbaar zijn.
Heeft iemand een idee hoe ik dit weer terug krijg?
Ja hoor, voor mij ook een pakketje dat niet kon worden afgeleverd.
Die Chaufeur zou wel extra hebben gebaald toen hij bij mij aan de voordeur stond, ik Woon namelijk in Ningbo, CHINA :-)
Ach ja, al die spam het wordt met de dag erger.......
Vreemd dat ik hier in China amper spam krijg via mijn chinese mail account, toch beter geregeld hier ?
Die Chaufeur zou wel extra hebben gebaald toen hij bij mij aan de voordeur stond, ik Woon namelijk in Ningbo, CHINA :-)
Ach ja, al die spam het wordt met de dag erger.......
Vreemd dat ik hier in China amper spam krijg via mijn chinese mail account, toch beter geregeld hier ?
Ook wij hebben een email gekregen van Buitink en ook niets besteld, de email is erg overtuigend!
Pas op!!!
Pas op!!!
Hoe naief kun je zijn? De helft van de schrijvers had 'm bijna geopend.
Als je willekeurige Word documenten met macro's opent ben je gewoon niet goed snik.
Als je willekeurige Word documenten met macro's opent ben je gewoon niet goed snik.
11-07-2016, 08:04 door
Erik van Straten
08-07-2016, 16:33 door Placebo: [...]
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
[...]
De laatste analyse door VT van die file is van 2016-07-08 15:13:39 UTC ( 2 days, 14 hours ago ), zieGelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
[...]
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/1467990819/. Ik vind detectie nogal tegenvallen, want een aantal grote namen/veelgebruikte scanners detecteren dit bestand niet als kwaadaardig,
Ik heb "de file" zojuist gedownload vanaf bestanden.transportbedrijfbuitink.nl (198.167.137.65), het bestand is (zoals ik verwachtte) gewijzigd en wordt door 15 van 53 scanners herkend: https://www.virustotal.com/en/file/3135956e280e61d44f42928899dcb3b0105fb35b53b33f85eaa41bc0ad879d83/analysis/1468214620/. Een aantal grote namen zitten daar NIET bij: AVG, Avast, Comodo, Kaspersly, Malwarebytes, McAfee, Panda, Sophos, TrendMicro en VBA32 (maar ook anderen ontbreken).
Als je als admin denkt dat jouw gebruikers veilig zijn omdat een exemplaar werd herkend door de bij jullie gebruikte virusscanner: dat kan over een uur anders zijn!
De file die ik gedownload heb, heette "BT-32084.doc" maar feitelijk gaat het om een .docx bestand (zie ook de uitleg op 08-07-2016, 18:36 door Anoniem). Als je deze hernoemt in "BT-32084.doc.zip" kun je deze openen en zien welke bestanden erin zitten. Onder de submap "word" zijn bestanden genaamd "vbaData.xml" en "vbaProject.bin" te zien, daaruit kun je al afleiden dat er macro's inzitten. Als ik die bestanden uit de "zip file" verwijder en in Word open, krijg ik het in dat document het plaatje te zien dat in de file te vinden is als "word\media\image1.png". Dat plaatje ziet eruit als getoond in https://imgur.com/a/5snBV.
Vergis ik me of krijgen veel Zeelandnet-klanten deze spam? Ik kreeg hem ook, na een bestelling via Bol.com bij een externe partner Groot en Goedkoop, met verhoudingsgewijs inderdaad erg lage prijzen. Uit reviews is op te maken dat ze nog wel eens zwaar beschadigde waar leveren. Misschien van de vrachtwagen gevallen?
Door Placebo: Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
Subject:
Mislukte afleverpoging BT-32084
Body:
Transportbedrijf Buitink B.V.
Westkanaaldijk 160
3542 DA Utrecht
--------------------------------
Geachte heer / mevrouw,
Op donderdag 7 juli heeft een van onze chauffeurs omstreeks 11.30 geprobeert
om een pakket af te leveren.
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig
mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in
te vullen en retour te mailen naar info@transportbedrijfbuitink.nl
hxxp://bestanden.transportbedrijfbuitink [.] nl/BT-32084.doc (dit formulier bevat
ook informatie m.b.t. de levering)
Met vriendelijke groet,
Anna Dorst
URL staat nog niet op een blocklist:
https://www.virustotal.com/en/url/489974c8a1bc15149479686f1a33ddd1e05fb767b42cda1f509fb3ee04e901c4/analysis/
Gelukkig is de AV detectie vrij aardig:
https://www.virustotal.com/en/file/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874/analysis/
Hier de resultaten van een sandbox:
https://www.hybrid-analysis.com/sample/7b01514b7861081892605200c021292e88f09f938c97dcc19b6e5c1318f0c874?environmentId=100
En hier een lijstje met IOC's:
https://otx.alienvault.com/pulse/577fb2d820b3f4013577eb91/
lijkt me overduidelijk spam mail
weggooien dus
Door Anoniem: Ook wij hebben een email gekregen van Buitink en ook niets besteld, de email is erg overtuigend!
Pas op!!!
Pas op!!!
Hoezo pas op?
Ik snap het niet. Je zegt zelf dat je niks besteld hebt, en waarschijnlijk heb je nog nooit gehoord hebt van het bewuste transportbedrijf. Dan pleur je deze onzin toch direct in de digitale Jiskefet?
En hoezo overtuigende email? Er staan ook al Nederlandse spelfouten in... :-)
Woeha, leve de naïeve allesklikker!
Sorry hoor, maar wanneer leren we nu eens ons gezonde verstand te gebruiken? Als er een willekeurig iemand aan de deur komt met een opgeklopt verhaal, laten we die ook gelijk binnen, geven 'm koffie + koekje en een reservesleutel van ons huis mee, toch? ;-) Of kunnen we dan ineens WEL ons gezonde verstand gebruiken?
Door Anoniem: ik heb helaas wel de mail geopend. Het pure toeval was dat ik op een pakketje zat te wachten.
Normaal is het standaard verwijderen.
Nu heb ik het virus op mijn computer waardoor bestanden onbruikbaar zijn.
Heeft iemand een idee hoe ik dit weer terug krijg?
Zucht; gezond verstand gebruiken voordat je ergens op klikt, is tegenwoordig teveel gevraagd. Normaal is het standaard verwijderen.
Nu heb ik het virus op mijn computer waardoor bestanden onbruikbaar zijn.
Heeft iemand een idee hoe ik dit weer terug krijg?
Maar om je bestanden terug te halen; gewoon ff de backup terug zetten! Simpel!
of.... ga je nu vertellen dat je niet aan 'backups doet'?
Helaas, mijn broer is zo ongelukkig geweest om op de link te klikken.
Resultaat :
Wildfire Locker heeft zijn bestanden versleuteld, De schade was beperkt tot deze ene pc (klein bedrijf) en een gedeelte van zijn NAS.
Wees gewaarschuwd, in office 2010 wordt dit document dus gelijk uitgevoerd.
Resultaat :
Wildfire Locker heeft zijn bestanden versleuteld, De schade was beperkt tot deze ene pc (klein bedrijf) en een gedeelte van zijn NAS.
Wees gewaarschuwd, in office 2010 wordt dit document dus gelijk uitgevoerd.
Nog eentje;
Steehouwer Transport B.V.
Fezmiweg 179
3542 CB Utrecht
--------------------------------
Geachte heer / mevrouw,
Op vrijdag 1 juli heeft een van onze chauffeurs omstreeks 10.45 geprobeert om een pakket af te leveren op het onderstaande adres:
XXXXXXXX
XXXXXXXX
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen.
http://bestanden.steehouwertransport.nl/SH-23260-02.doc (dit formulier bevat ook informatie m.b.t. de levering)
Met vriendelijke groet,
Lisa Dorsten
De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.
Steehouwer Transport B.V.
Fezmiweg 179
3542 CB Utrecht
--------------------------------
Geachte heer / mevrouw,
Op vrijdag 1 juli heeft een van onze chauffeurs omstreeks 10.45 geprobeert om een pakket af te leveren op het onderstaande adres:
XXXXXXXX
XXXXXXXX
Aangezien dit niet is gelukt willen wij u graag verzoeken om zo spoedig mogelijk een nieuwe afspraak te maken.
U kunt een nieuwe afpsraak maken door het volgende formulier te downloaden, in te vullen en retour te mailen.
http://bestanden.steehouwertransport.nl/SH-23260-02.doc (dit formulier bevat ook informatie m.b.t. de levering)
Met vriendelijke groet,
Lisa Dorsten
De informatie verzonden in dit e-mail bericht is automatisch gegenereerd en uitsluitend bestemd voor de geaddresseerde. Gebruik van deze informatie door anderen dan de geadresseerde is verboden.
Aan iedereen die deze e-mail geloofwaardig vond:
Een pakketdienst/transportbedrijf komt aan je deur. Is een berichtje in je brievenbus dan niet veel voor de hand liggender dan een een e-mailadres? Het bezorgadres kennen ze altijd, dat is het enige wat ze gegarandeerd voorhanden hebben, en op het moment dat bezorgen niet lukt staan ze toch al voor je deur.
Als ze een tijdstip kunnen noemen in de e-mail, waarom verwijzen ze dan voor de details van de bestelling naar een bijlage? Waarom zie je de gegevens van de afzender en je eigen gegevens niet direct in de e-mail? Bedenk dat als die bijlage kwaadaardig is ze je zo kunnen bewegen om iets onveiligs te doen vóórdat je kan verifiëren of het klopt. Dat op zich moet alarmbellen doen afgaan, zeker als je de afzender niet kent.
En hoe zou een transporteur aan je e-mailadres moeten komen? Als jij iets besteld hebt bij een webwinkel mag die niet zomaar je e-mailadres aan een derde doorgeven. De bezorgdienst heeft het niet nodig om te kunnen bezorgen en hoort het daarom niet te krijgen van de afzender. Aan een bericht per e-mail van de bezorger zelf klopt dus hoe dan ook iets niet, dat is verdacht.
Als je bij een webwinkel iets hebt besteld dan geven ze nagenoeg allemaal aan je door welke dienst het bezorgd gaat worden. Als ze PostNL zeggen verwacht je PostNL aan de deur, als ze UPS zeggen verwacht je die, enzovoorts. Let daarop zodat je weet van wie je wat verwacht. Als niemand Buitink heeft genoemd als transporteur is het wel heel vreemd als die opeens contact met je opneemt.
Er zit dus een heleboel in die e-mail dat de alarmbellen al kan doen afgaan nog voor je aan het openen van de bijlage toe bent. Als je het toch geloofwaardig vond is het denk ik hoog tijd dat je jezelf aanleert om kritische vragen te gaan stellen bij wat er in je inbox terechtkomt. Zie mijn opsomming hierboven. Het is daarbij nuttig als je grofweg een beeld hebt bij hoe dit soort dingen worden afgehandeld. Daar is niets magisch aan, het is in wezen vrij simpel. Jij bestelt iets bij een ander, en die ander heeft gegevens van je nodig om de bestelling af te kunnen handelen, te kunnen bezorgen en om je van de status op de hoogte te kunnen houden (dat is je e-mailadres). De bezorgdienst heeft alleen een geadresseerd pakket nodig en zou je e-mailadres niet te zien mogen krijgen. Er is geen magische methode voor ondernemingen om e-mailadressen bij straatadressen te vinden, helderziend zijn ze ook niet, en dus zullen ze hun werkwijze daar niet op inrichten.
En als je toch nog twijfelt omdat je bijvoorbeeld iets van een afzemder verwacht die niet duidelijk is geweest over wie het transport gaat doen: neem contact op met die afzender en vraag hoe het zit. Pas als die Buitink noemt én zegt je e-mailadres te hebben doorgegeven kan die e-mail legitiem zijn.
Een pakketdienst/transportbedrijf komt aan je deur. Is een berichtje in je brievenbus dan niet veel voor de hand liggender dan een een e-mailadres? Het bezorgadres kennen ze altijd, dat is het enige wat ze gegarandeerd voorhanden hebben, en op het moment dat bezorgen niet lukt staan ze toch al voor je deur.
Als ze een tijdstip kunnen noemen in de e-mail, waarom verwijzen ze dan voor de details van de bestelling naar een bijlage? Waarom zie je de gegevens van de afzender en je eigen gegevens niet direct in de e-mail? Bedenk dat als die bijlage kwaadaardig is ze je zo kunnen bewegen om iets onveiligs te doen vóórdat je kan verifiëren of het klopt. Dat op zich moet alarmbellen doen afgaan, zeker als je de afzender niet kent.
En hoe zou een transporteur aan je e-mailadres moeten komen? Als jij iets besteld hebt bij een webwinkel mag die niet zomaar je e-mailadres aan een derde doorgeven. De bezorgdienst heeft het niet nodig om te kunnen bezorgen en hoort het daarom niet te krijgen van de afzender. Aan een bericht per e-mail van de bezorger zelf klopt dus hoe dan ook iets niet, dat is verdacht.
Als je bij een webwinkel iets hebt besteld dan geven ze nagenoeg allemaal aan je door welke dienst het bezorgd gaat worden. Als ze PostNL zeggen verwacht je PostNL aan de deur, als ze UPS zeggen verwacht je die, enzovoorts. Let daarop zodat je weet van wie je wat verwacht. Als niemand Buitink heeft genoemd als transporteur is het wel heel vreemd als die opeens contact met je opneemt.
Er zit dus een heleboel in die e-mail dat de alarmbellen al kan doen afgaan nog voor je aan het openen van de bijlage toe bent. Als je het toch geloofwaardig vond is het denk ik hoog tijd dat je jezelf aanleert om kritische vragen te gaan stellen bij wat er in je inbox terechtkomt. Zie mijn opsomming hierboven. Het is daarbij nuttig als je grofweg een beeld hebt bij hoe dit soort dingen worden afgehandeld. Daar is niets magisch aan, het is in wezen vrij simpel. Jij bestelt iets bij een ander, en die ander heeft gegevens van je nodig om de bestelling af te kunnen handelen, te kunnen bezorgen en om je van de status op de hoogte te kunnen houden (dat is je e-mailadres). De bezorgdienst heeft alleen een geadresseerd pakket nodig en zou je e-mailadres niet te zien mogen krijgen. Er is geen magische methode voor ondernemingen om e-mailadressen bij straatadressen te vinden, helderziend zijn ze ook niet, en dus zullen ze hun werkwijze daar niet op inrichten.
En als je toch nog twijfelt omdat je bijvoorbeeld iets van een afzemder verwacht die niet duidelijk is geweest over wie het transport gaat doen: neem contact op met die afzender en vraag hoe het zit. Pas als die Buitink noemt én zegt je e-mailadres te hebben doorgegeven kan die e-mail legitiem zijn.
Door Anoniem: Aan iedereen die deze e-mail geloofwaardig vond:
Een pakketdienst/transportbedrijf komt aan je deur. Is een berichtje in je brievenbus dan niet veel voor de hand liggender dan een een e-mailadres? Het bezorgadres kennen ze altijd, dat is het enige wat ze gegarandeerd voorhanden hebben, en op het moment dat bezorgen niet lukt staan ze toch al voor je deur.
Als ze een tijdstip kunnen noemen in de e-mail, waarom verwijzen ze dan voor de details van de bestelling naar een bijlage? Waarom zie je de gegevens van de afzender en je eigen gegevens niet direct in de e-mail? Bedenk dat als die bijlage kwaadaardig is ze je zo kunnen bewegen om iets onveiligs te doen vóórdat je kan verifiëren of het klopt. Dat op zich moet alarmbellen doen afgaan, zeker als je de afzender niet kent.
En hoe zou een transporteur aan je e-mailadres moeten komen? Als jij iets besteld hebt bij een webwinkel mag die niet zomaar je e-mailadres aan een derde doorgeven. De bezorgdienst heeft het niet nodig om te kunnen bezorgen en hoort het daarom niet te krijgen van de afzender. Aan een bericht per e-mail van de bezorger zelf klopt dus hoe dan ook iets niet, dat is verdacht.
Als je bij een webwinkel iets hebt besteld dan geven ze nagenoeg allemaal aan je door welke dienst het bezorgd gaat worden. Als ze PostNL zeggen verwacht je PostNL aan de deur, als ze UPS zeggen verwacht je die, enzovoorts. Let daarop zodat je weet van wie je wat verwacht. Als niemand Buitink heeft genoemd als transporteur is het wel heel vreemd als die opeens contact met je opneemt.
Er zit dus een heleboel in die e-mail dat de alarmbellen al kan doen afgaan nog voor je aan het openen van de bijlage toe bent. Als je het toch geloofwaardig vond is het denk ik hoog tijd dat je jezelf aanleert om kritische vragen te gaan stellen bij wat er in je inbox terechtkomt. Zie mijn opsomming hierboven. Het is daarbij nuttig als je grofweg een beeld hebt bij hoe dit soort dingen worden afgehandeld. Daar is niets magisch aan, het is in wezen vrij simpel. Jij bestelt iets bij een ander, en die ander heeft gegevens van je nodig om de bestelling af te kunnen handelen, te kunnen bezorgen en om je van de status op de hoogte te kunnen houden (dat is je e-mailadres). De bezorgdienst heeft alleen een geadresseerd pakket nodig en zou je e-mailadres niet te zien mogen krijgen. Er is geen magische methode voor ondernemingen om e-mailadressen bij straatadressen te vinden, helderziend zijn ze ook niet, en dus zullen ze hun werkwijze daar niet op inrichten.
En als je toch nog twijfelt omdat je bijvoorbeeld iets van een afzemder verwacht die niet duidelijk is geweest over wie het transport gaat doen: neem contact op met die afzender en vraag hoe het zit. Pas als die Buitink noemt én zegt je e-mailadres te hebben doorgegeven kan die e-mail legitiem zijn.
Een pakketdienst/transportbedrijf komt aan je deur. Is een berichtje in je brievenbus dan niet veel voor de hand liggender dan een een e-mailadres? Het bezorgadres kennen ze altijd, dat is het enige wat ze gegarandeerd voorhanden hebben, en op het moment dat bezorgen niet lukt staan ze toch al voor je deur.
Als ze een tijdstip kunnen noemen in de e-mail, waarom verwijzen ze dan voor de details van de bestelling naar een bijlage? Waarom zie je de gegevens van de afzender en je eigen gegevens niet direct in de e-mail? Bedenk dat als die bijlage kwaadaardig is ze je zo kunnen bewegen om iets onveiligs te doen vóórdat je kan verifiëren of het klopt. Dat op zich moet alarmbellen doen afgaan, zeker als je de afzender niet kent.
En hoe zou een transporteur aan je e-mailadres moeten komen? Als jij iets besteld hebt bij een webwinkel mag die niet zomaar je e-mailadres aan een derde doorgeven. De bezorgdienst heeft het niet nodig om te kunnen bezorgen en hoort het daarom niet te krijgen van de afzender. Aan een bericht per e-mail van de bezorger zelf klopt dus hoe dan ook iets niet, dat is verdacht.
Als je bij een webwinkel iets hebt besteld dan geven ze nagenoeg allemaal aan je door welke dienst het bezorgd gaat worden. Als ze PostNL zeggen verwacht je PostNL aan de deur, als ze UPS zeggen verwacht je die, enzovoorts. Let daarop zodat je weet van wie je wat verwacht. Als niemand Buitink heeft genoemd als transporteur is het wel heel vreemd als die opeens contact met je opneemt.
Er zit dus een heleboel in die e-mail dat de alarmbellen al kan doen afgaan nog voor je aan het openen van de bijlage toe bent. Als je het toch geloofwaardig vond is het denk ik hoog tijd dat je jezelf aanleert om kritische vragen te gaan stellen bij wat er in je inbox terechtkomt. Zie mijn opsomming hierboven. Het is daarbij nuttig als je grofweg een beeld hebt bij hoe dit soort dingen worden afgehandeld. Daar is niets magisch aan, het is in wezen vrij simpel. Jij bestelt iets bij een ander, en die ander heeft gegevens van je nodig om de bestelling af te kunnen handelen, te kunnen bezorgen en om je van de status op de hoogte te kunnen houden (dat is je e-mailadres). De bezorgdienst heeft alleen een geadresseerd pakket nodig en zou je e-mailadres niet te zien mogen krijgen. Er is geen magische methode voor ondernemingen om e-mailadressen bij straatadressen te vinden, helderziend zijn ze ook niet, en dus zullen ze hun werkwijze daar niet op inrichten.
En als je toch nog twijfelt omdat je bijvoorbeeld iets van een afzemder verwacht die niet duidelijk is geweest over wie het transport gaat doen: neem contact op met die afzender en vraag hoe het zit. Pas als die Buitink noemt én zegt je e-mailadres te hebben doorgegeven kan die e-mail legitiem zijn.
Eensch, hoe kunnen mensen een mail van zo'n nepbedrijf geloofwaardig noemen als ze geen pakketje ontvangen?
Ik bestel regelmatig zaken online en van PostNL ontvang ik dan een mail dat het pakket klaar ligt bij het afleverkantoor, ik gebruik standaard pakjegemak omdat ik overdag nooit thuis ben. Maar dan weet ik inmiddels dat het bedrijf waar ik iets besteld hebt PostNL gebruikt. Als ik dan een mail van een geheel ander bedrijf zou krijgen zou ik dat niet bepaald geloofwaardig vinden. Maar goed, mensen trappen er blijkbaar nog steeds massaal in, ondanks alle waarschuwingen.
En weer door ......
Hey, ik verwacht wel een pakketje! Maar heb die mails niet gehad? Kan iemand ze ff doorsturen?
thx.
thx.
Door Anoniem: Ik kreeg de mail zojuist ook binnen. Maar zodra er een spelfout in de tekst staat, weet ik al dat het foute boel is.
En er zit inderdaad een spelfout in "heeft een van onze chauffeurs omstreeks 11.30 geprobeert"Geprobeert, met een T. Zucht.
15-07-2016, 13:27 door
Erik van Straten
Door Anoniem:
Geprobeert, met een T. Zucht.
Er zouden wel eens meer spelfouten in legitieme mails kunnen zitten dan in phishing mails. Daarnaast zou je zelfs kunnen stellen dat een e-mail, verzonden door een medewerker van een transportbedrijf, waar geen spel/taalfouten in voorkomen, juist verdacht is.Door Anoniem: Ik kreeg de mail zojuist ook binnen. Maar zodra er een spelfout in de tekst staat, weet ik al dat het foute boel is.
En er zit inderdaad een spelfout in "heeft een van onze chauffeurs omstreeks 11.30 geprobeert"Geprobeert, met een T. Zucht.
Vergelijkbaar, als ik een tool had om op security.nl met een druk op een knop alle bijdragen met minstens 1 taal/spelfout erin onzichtbaar te maken, was ik véél sneller klaar met lezen - maar zou ik ook veel interessante informatie mislopen.
Als testje begin ik met de eerste regel op deze pagina:
Zie sinds een uur erg overtuigende emails langs komen die je probeert over te halen om een Word document met een macro virus te open:
1) de zin begint met "Zie", het lijkt daardoor om een opdracht aan de lezer te gaan. "Ik" is echter weggelaten;2) "langs komen" moet zijn "langskomen";
3) "emails" is meervoud, "die je probeert" is enkelvoud;
4) "macro virus" moet zijn "macrovirus";
5) "te open" moet zijn "te openen".
Terzijde, @placobo: no offence meant; ik had een 5 voor Nederlands op mijn middelbare schooldiploma en heb veel liever een tijdige (vermoedelijk in de haast geschreven) bijdrage zoals die van jou, dan een late of helemaal geen bijdrage.
@Anioniem: veel succes met je nieuwe spam/phishingfilter...
Snapt niemand dat deze spelfouten bewust zijn?
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
vandaag 2 mails met transportbedrijfgrijpmans.nl en vlootmantransport.nl. Hiervan is registrar PDR Ltd. uit de Verenigde Arabische Emiraten. 11-07 geregistreerd.
Door Anoniem: Snapt niemand dat deze spelfouten bewust zijn?
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
Leuk verzonnen maar nee.
Door Anoniem:
Leuk verzonnen maar nee.
Door Anoniem: Snapt niemand dat deze spelfouten bewust zijn?
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
Leuk verzonnen maar nee.
Kun je dit ook onderbouwen met argumenten, of hou je alleen van "welles/nietes spelletjes spelen" ?
Door Anoniem:
Kun je dit ook onderbouwen met argumenten, of hou je alleen van "welles/nietes spelletjes spelen" ?
Door Anoniem:
Leuk verzonnen maar nee.
Door Anoniem: Snapt niemand dat deze spelfouten bewust zijn?
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
Hierdoor filteren ze de lager opgeleiden uit de potentiële slachtoffers waardoor er sneller en vaker betaald zal worden.
Leuk verzonnen maar nee.
Kun je dit ook onderbouwen met argumenten, of hou je alleen van "welles/nietes spelletjes spelen" ?
Ik had dat niet geschreven, maar je moet wel onderscheid maken tussen verschillende situaties:
1. de klassieke 409-fraude waarbij er mails naar slachtoffers gestuurd worden die zelf in een dialoog moeten komen
met de fraudeur en uiteindelijk voorschotten moeten gaan betalen voor geldbedragen die ze nooit gaan krijgen.
in dat geval is het nuttig om eerst te filteren op lager opgeleide slachtoffers zodat men geen moeite hoeft te verspillen
aan een dialoog met iemand die voor er geld wordt overgemaakt in de gaten krijgt dat het een scam is.
2. de moderne (crypto)trojan methode waarbij de gebruiker malware moet installeren door alleen maar op een link te
klikken, of zelfs dat niet (alleen de mail te openen). daar speelt dit aspect niet bij, daar trappen ook hoger opgeleiden
in dus dan kun je beter een geloofwaardig mailtje hebben met zo weinig mogelijk doorzichtige fouten.
in dit geval helpt een goede systeembeheerder die er voor zorgt dat de gebruikers niet de fout in kunnen gaan en
ongewild software downloaden en runnen.
Ik kreeg net een bericht met een zelfde inhoud
maar dan in combinatie met de bedrijfsnaam transportbedrijfgrijpmans
ik vermoed geen zuivere koffie
maar dan in combinatie met de bedrijfsnaam transportbedrijfgrijpmans
ik vermoed geen zuivere koffie
Ook hier vandaag mail van 'transportbedrijf Grijpmans', verstuurd door 'Carla Woestenburg'.
Zojuist een nieuwe versie van dit bericht ontvangen. Ditmaal afkomstig van "Van Hintum Transport B.V.".
Opvallend is dat dit bericht voorzien is van een volledig adres!
Uiteindelijk moet ook dit bericht de ontvanger verleiden tot het downloaden van een Word document...
Opvallend is dat dit bericht voorzien is van een volledig adres!
Uiteindelijk moet ook dit bericht de ontvanger verleiden tot het downloaden van een Word document...
Wij ontvingen de mail met volledig bedrijfsadres:
Van Hintum Transport B.V.
Jool-Hulstraat 36
1327 HA Almere
Ons oude bedrijfsadres werd genoemd als afleveradres, dus op zich best geloofwaardig dat het afleveren niet gelukt is. Als bedrijf weet je niet wie de vervoerders zijn van bestellingen. Doordat ook de mail afkomstig was van het info@-bedrijfsadrdes, en geheel zonder type/schrijffouten, was het beslist niet duidelijk dat dit spam betrof.
Opletten dus!
Van Hintum Transport B.V.
Jool-Hulstraat 36
1327 HA Almere
Ons oude bedrijfsadres werd genoemd als afleveradres, dus op zich best geloofwaardig dat het afleveren niet gelukt is. Als bedrijf weet je niet wie de vervoerders zijn van bestellingen. Doordat ook de mail afkomstig was van het info@-bedrijfsadrdes, en geheel zonder type/schrijffouten, was het beslist niet duidelijk dat dit spam betrof.
Opletten dus!
Vandaag dezelfde mail ontvangen:
Van Hintum Transport B.V.
Jool-Hulstraat 36
1327 HA Almere
--------------------------------
Geachte heer / mevrouw,
Op woensdag 22 juli heeft een van onze chauffeurs omstreeks 16.00 geprobeerd om een pakket af te leveren op het onderstaande adres.
Adres klopt niet omdat de desbetreffende straat niet verder gaat dan 24. Op Google is het bedrijf niet te vinden
Van Hintum Transport B.V.
Jool-Hulstraat 36
1327 HA Almere
--------------------------------
Geachte heer / mevrouw,
Op woensdag 22 juli heeft een van onze chauffeurs omstreeks 16.00 geprobeerd om een pakket af te leveren op het onderstaande adres.
Adres klopt niet omdat de desbetreffende straat niet verder gaat dan 24. Op Google is het bedrijf niet te vinden
Vandaag een dergelijk e-mail bericht ontvangen. Ditmaal onder de noemer Brummelhuis Transport. Wij ontvangen op de zaak dagelijks veel verschillende pakketten, dus ook argeloos link geopend. Virusscanner deed gelukkig zijn werk naar behoren. Inderdaad oppassen. Blijf posten zou ik zeggen!!
Zaterdag 30 juli jl.een e-mailbericht ontvangen van Brummelhuis Transport B.V. Dit paste inderdaad ook in onze situatie en helaas geopend. Gelukkig heeft de virusscanner er voor gezorgd dat het document niet geopend kon worden, maar weet niet zeker of dit nu schadelijk is voor de laptop...?! Wel erg nuttig dat e.e.a. hier gepost is; nu weten we dat dit soort mails ook niet te vertrouwen is!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
