Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Nieuw spam botnet?

24-10-2016, 22:11 door Patrick_st, 66 reacties
Vandaag zo'n 50 spam mails binnen gekregen op mijn account.
Van klanten en collega's (met andere spamfilters) hoor ik gelijke berichten.

De mails zijn in het Nederlands en sex/dating gerelateerd.
De afzender is steeds anders en ook de links in de mails zijn steeds anders.
Diverse links laten scannen door VirusTotal.com en sommige zijn bekende malware sites en sommige zijn schoon (wat ik niet geloof)

Ik heb hier op de diverse nieuws sites die ik volg niets over gelezen maar bij ons op de zaak en bij diverse andere klanten krijg ik meldingen dat deze mails massaal door het spamfilter komen.

Is er hier iemand die er meer over weet?
Reacties (66)
24-10-2016, 22:23 door SecGuru_OTX
Ik ga proberen hier morgen wat werk van te maken. Dit is n.l. niet de eerste keer dat ik deze vraag vandaag voorbij heb zien komen.

Iemand meer info?
24-10-2016, 22:39 door NSG
Ik heb er zojuist drie ontvangen met de volgende inhoud: http://www.imgdumper.nl/uploads9/580e708a9310b/580e708a8e076-spamhoer.PNG

Drie verschillende domeinnamen, drie verschillende IP-adressen en drie verschillende links.

Een van de IP's is https://www.abuseipdb.com/check/95.110.161.42 , het mailadres waarvan ik de mail heb ontvangen eindigt op de hostname die hier genoemd wordt. Lijkt gewoon een legit bedrijf te zijn, waarvan de server onderdeel van een botnet is geworden.
24-10-2016, 22:57 door Patrick_st
Door NSG: Ik heb er zojuist drie ontvangen met de volgende inhoud: http://www.imgdumper.nl/uploads9/580e708a9310b/580e708a8e076-spamhoer.PNG

Dit zijn inderdaad dezelfde mails.
Weergegeven naam is altijd een vrouwelijke voornaam.

Wat nog wel opvalt is dat sommige mails een Nederlands onderwerp hebben maar de body is in Scandinavisch oid:
Onderwerp: Anderen beleven nu een avontuurtje. Jij ook?

Body:

Hey!

Er du klar for å møte heite single nær der du bor?

Veldig mange nye og HEITE medlemmer fra ditt område melder seg inn på siden vår hver eneste dag, og det heltGRATIS! Det er veldig enkelt å bli med på moroa - REGISTRER DEG og begynn å date NÅ. Vår side, dine regler, gjør så mye eller så lite som du ønsker! Med så MANGE medlemmer vil du garantert kunne finne noen, som er med på hva som helst og det du har lyst til å gjøre!

For å bli medlem av den mest sexy og populæreste nettsiden, klikk på linken nedenfor

Det er gratis å bli med <httx://tivaen.com/stats.php?a=146&4FGD=NqUzjftGU5668tPMLrDYN&J9p=FSv&6niK=dr>

Husk...det er uten forpliktelser ;)

Ik heb http door httx vervangen om de link onwerkbaar te maken.
De link is overigens schoon volgens virustotal maar ik ga er toch maar niet op klikken :)
24-10-2016, 23:51 door [Account Verwijderd]
Jep, forse toename sinds vanmorgen.

http://imgur.com/a/Rfijm
25-10-2016, 01:05 door Anoniem
Gelinkt aan SEO Spam en sociaal media misbruik, zie https://www.mywot.com/en/scorecard/urlrate.net?utm_source=addon&utm_content=popup
De belangrijke Joomla update schijnt voor genoemde website te laat gekomen, zie code met fout: undefined function window.addEvent -> htxp://tivaen.com/templates/ZAjax_Temp/js/roksortable.js
25-10-2016, 08:12 door Anoniem
Bij mij doet het zich ook voor, zowel op mijn zakelijke mail (wtf) en op mijn prive mail.
25-10-2016, 09:03 door Anoniem
Klopt, sinds zondag er een kleine 110 ontvangen. Inderdaad de voornaam als afzender en sommige in een andere taal........
25-10-2016, 10:26 door Anoniem
Ik heb meerdere email-adressen en krijg deze mails sinds gisteren uitsluitend op het adres van het Joomla-domein.
25-10-2016, 11:16 door Anoniem
Heeft er iemand toevallig al buikbare SpamAssassin rules?
25-10-2016, 11:49 door SecGuru_OTX
Hoeft uiteraard niet maar ik ben op zoek naar voorbeelden, zou iemand wat voorbeelden willen doorsturen naar SecGuru_OTX@protonmail.com ?
25-10-2016, 12:09 door Millie0111
Door SecGuru_OTX: Hoeft uiteraard niet maar ik ben op zoek naar voorbeelden
Heb je zojuist een mailtje gestuurd...

Zeer irritant deze spam campaign. Lijkt van verschillende hosts te komen en ook de url waarnaar gelinked wordt verschilt per mail.
25-10-2016, 12:11 door Anoniem
De actie, spamraid via meerdere accounts, is hoogst waarschijnlijk al weer voorbij, Zie de centos apache default page, die verschijnt. Het misbruik kwam via a linux server via Aruba S.p.A. - Cloud Services Farm2 -> http://rdpguard.com/free-whois.aspx?ip=95.110.161.42

Er waren spam raids in december vorig jaar, afgelopen augustus en nu dus recentelijk, e.g. 24/25-10-2016 volgens
https://www.abuseipdb.com/check/95.110.161.42 & https://cleantalk.org/blacklists/95.110.161.42
plesk technorail misbruik -

Via het verhuren van virtuele servers op cloud services wordt de meeste spam gefaciliteerd.

Zie de man hier in zo'n centrum er rustig bijzitten ( http://farm3.static.flickr.com/2775/4381851322_d46fd7d75e_d.jpg )
Dit terwijl er op grote schaal rond hem heen gespamd wordt. Het beste bewijs dat we in het "spam-Kali-tijdperk" zitten.
Lees: https://www.mailchannels.com/outbound-spam-filtering/how-outbound-spam-affects-cloud-hosting-providers/

De cloud een veilige oplossing, amme hoela!

luntrus
25-10-2016, 12:54 door Anoniem
Enkele bevindingen (uit een ander forum):

- de adreslijst van deze spam is afkomstig van de dropbox-hack (2012)
- elke spamrun gebruikt een andere bron en een andere gehackte site (dus daarop filteren helpt niet)
- de gehackte site wordt enkel misbruikt voor een redirect
25-10-2016, 13:10 door Anoniem
Zojuist ook 1 doorgestuurd
25-10-2016, 13:34 door linuxpro
En nog iemand die een zinnige rule voor spamassassin ofzo heeft kunnen fabrieken? Ik heb nu tijdelijk de onderwerpen uit 't subject in een postfix filter gezet.
25-10-2016, 13:44 door quikfit
Hey!

Er du klar for å møte heite single nær der du bor?

Veldig mange nye og HEITE medlemmer fra ditt område melder seg inn på siden vår hver eneste dag, og det heltGRATIS! Det er veldig enkelt å bli med på moroa - REGISTRER DEG og begynn å date NÅ. Vår side, dine regler, gjør så mye eller så lite som du ønsker! Med så MANGE medlemmer vil du garantert kunne finne noen, som er med på hva som helst og det du har lyst til å gjøre!

For å bli medlem av den mest sexy og populæreste nettsiden, klikk på linken nedenfor

Det er gratis å bli med <httx://tivaen.com/stats.php?a=146&4FGD=NqUzjftGU5668tPMLrDYN&J9p=FSv&6niK=dr>

Husk...det er uten forpliktelser ;)

Ben zo vrij geweest dit stukje voor jullie te vertalen ;-)

Hoi,

Ben je klaar om hete singels te ontmoeten vlakbij waar je woont?

Heel veel nieuwe hete leden uit jouw omgeving melden zich iedere dag aan op onze website,en het is geheel gratis!
Het is heel er eenvoudig om mee te doen met de fun-REGISTREER JE en begin meteen met daten.Onze website,jouw regels,doe zoveel of zo weinig als je wilt. Met zo VEEL leden vind je gegarandeerd iemand die het met je eens is om dat te doen,wat je ook/maar wilt.

Om lid te worden van de meest sexy en populaire website klik op de link hier beneden.

Het is gratis om lid te worden *LINK*

Denk er aan....het is zonder verplichtingen. :)

Groeten vanuit Noorwegen ;-)
25-10-2016, 14:00 door SecGuru_OTX
Ik zou nog graag een aantal voorbeelden in .eml of .eml in zip willen ontvangen, ik denk de uiteindelijk source te hebben gevonden maar heb nog een paar voorbeelden nodig om dit te kunnen bevestigen.

Wat ik wel zie in deze spam run is dat de uiteindelijk "landing page" op 217.172.172[.]30 uitkomt, onderstaande domeinen zijn gekoppeld aan dit IP:
hookupclub4[.]com
flirthookup5[.]com
flirthookup6[.]com
flirthookup4[.]com
claimyourprize2[.]com
claimyourprize1[.]com

Indien je een URL filter (die daadwerkelijk de landing page filtert) op de e-mail gateway gebruikt dan kun je een rule aanmaken om bovenstaande IP's en domeinen te filteren.
25-10-2016, 14:15 door linuxpro - Bijgewerkt: 25-10-2016, 14:16

Indien je een URL filter (die daadwerkelijk de landing page filtert) op de e-mail gateway gebruikt dan kun je een rule aanmaken om bovenstaande IP's en domeinen te filteren.

Dat is niet makkelijk want de uiteindelijke landingspage staat niet dusdanig in de email maar een verkorte URL daarvan.. dat is lastig filteren
25-10-2016, 14:19 door SecGuru_OTX
Door linuxpro:

Indien je een URL filter (die daadwerkelijk de landing page filtert) op de e-mail gateway gebruikt dan kun je een rule aanmaken om bovenstaande IP's en domeinen te filteren.

Dat is niet makkelijk want de uiteindelijke landingspage staat niet dusdanig in de email maar een verkorte URL daarvan.. dat is lastig filteren

Dit is idd afhankelijk van het type Email gateway security product. Er zijn best veel security gateway's die dit inmiddels ondersteunen.
25-10-2016, 14:23 door SecGuru_OTX
Het lijkt hier idd te gaan om een botnet van legitieme smtp servers.

Ik zie een klein aantal spoofed adressen waarbij ik er van uit gaat dat iedereen wel checkt op spoofed IP's/names.

Bizarre is dat ik ook echt legitieme IP\s voorbij zie komen waarvan SPF records kloppen en de TLS handshake ook succesvol is.
25-10-2016, 14:28 door SecGuru_OTX
p.s. er zijn best veel gateway's die URL landing pages controleren, probleem is alleen dat de URL's nagenoeg nergens als "Malicious" worden gezien.
25-10-2016, 14:31 door SecGuru_OTX
Alleen Websense (Proofpoint) ziet de URL's als "Malicious"
25-10-2016, 14:35 door SecGuru_OTX
p.s. mijn advies is (los van deze spam run) om altijd links in e-mail met URL verkorters te blokkeren.

99,99% van de e-mail met een URL verkorter er in, betreft SPAM of Ransomware. Trust me...
25-10-2016, 14:56 door SecGuru_OTX
Helaas geen gouden ei gevonden, gaat voornamelijk om legitieme IP's.

Mijn advies:

1. Block op keywords sex, neuken, sexy, klaarkomen, etc i.c.m. een URL in de mail aanwezig (dus en een keyword en een URL)
2. Indien je mailgateway de categorie "URL Shorteners" kan filteren, direct doen!
3. filter op de landing pages (mits dit mogelijk is)
4. Indien bovenstaande niet mogelijk: mooie gelegenheid voor wat extra user awareness

Voor de Office 365 gebruikers onder ons, kijk eens naar Exchange Online Advanced Threat Protection.
25-10-2016, 14:57 door _R0N_
De mail wortd in oorsprong verzonden via en eopen relay op een ipv6 adres wat uit ene gereserveerde reeks komt voor ipv6to4 routeringen.

2002:c121:dc41:0:0:0:c121:dc41

Comment: 2002::/16 is reserved for use in 6to4 deployments [RFC3056]
Ref: https://whois.arin.net/rest/net/NET6-2002-1
25-10-2016, 15:02 door prikpost - Bijgewerkt: 25-10-2016, 15:03
PopTray maar weer van stal gehaald. Werkt nog steeds, ook onder W10.
Per onderwerp een regel en klaar
25-10-2016, 17:23 door Anoniem
Gewoon je SA rules aanscherpen gaat goed hier met rejecten.
25-10-2016, 20:19 door Anoniem
In de link waarnaar verwezen wordt zit wel een serie van letters en cijfers die vaak het zelfde is. Deze lijkt uniek per e-mail adres en hier zou je (tijdelijk) op kunnen filteren.
25-10-2016, 21:30 door SecGuru_OTX
Door Anoniem: In de link waarnaar verwezen wordt zit wel een serie van letters en cijfers die vaak het zelfde is. Deze lijkt uniek per e-mail adres en hier zou je (tijdelijk) op kunnen filteren.

Ja, wellicht op deze serie aanwezig in het URL adres: 146&AGTfVq

Ik zal de rest nog even controleren.
25-10-2016, 21:44 door NSG
Door SecGuru_OTX:
Door Anoniem: In de link waarnaar verwezen wordt zit wel een serie van letters en cijfers die vaak het zelfde is. Deze lijkt uniek per e-mail adres en hier zou je (tijdelijk) op kunnen filteren.

Ja, wellicht op deze serie aanwezig in het URL adres: 146&AGTfVq

Ik zal de rest nog even controleren.

Ik denk dat dit verschillend is voor iedere ontvanger. Bij mij is het namelijk "146&cc4by" met daarachter nog eens 23 karakters die in elke link voorkomt, maar met af en toe een willekeurig geplaatste "=". De laatste 12 karakters zijn welke altijd uniek.
25-10-2016, 21:52 door SecGuru_OTX
Thanks @NSG
25-10-2016, 23:23 door Anoniem
@SecGuru_OTX

Ondertussen staat je mailadres wel boven vermeld, hetgeen ongetwijfeld leidt tot nóg meer spam.

Ik googlede even met dat mailadres maar vond het alleen hier op deze site. Misschien toch beter ven weghalen voordat de 'bots' je mailadres hiervandaan hebben gekopieerd?
26-10-2016, 10:11 door Anoniem
Op basis van +/- 100 e-mails, hierbij de custom Spamassassin rules voor dit type spam ( plaatsen in local.cf ):

body __DROPBOXSPAM1_MAIL_1 /\blekkere/i
body __DROPBOXSPAM1_MAIL_2 /\bseks/i
body __DROPBOXSPAM1_MAIL_3 /\bchatten/i
meta DROPBOXSPAM1_MAIL (__DROPBOXSPAM1_MAIL_1 && __DROPBOXSPAM1_MAIL_2 && __DROPBOXSPAM1_MAIL_3)
score DROPBOXSPAM1_MAIL 10.0
describe DROPBOXSPAM1_MAIL Message contains the words lekkere, seks, chatten


body __DROPBOXSPAM2_MAIL_1 /\brelaties/i
body __DROPBOXSPAM2_MAIL_2 /\bsexy/i
body __DROPBOXSPAM2_MAIL_3 /\bruimdenkende/i
body __DROPBOXSPAM2_MAIL_4 /\bgratis/i
body __DROPBOXSPAM2_MAIL_5 /\bchatten/i
meta DROPBOXSPAM2_MAIL (__DROPBOXSPAM2_MAIL_1 && __DROPBOXSPAM2_MAIL_2 && __DROPBOXSPAM2_MAIL_3 && __DROPBOXSPAM2_MAIL_4 && __DROPBOXSPAM2_MAIL_5)
score DROPBOXSPAM2_MAIL 10.0
describe DROPBOXSPAM2_MAIL Message contains the words relaties, sexy, ruimdenkende, gratis, chatten


body __DROPBOXSPAM3_MAIL_1 /\bheite/i
body __DROPBOXSPAM3_MAIL_2 /\bsingle/i
body __DROPBOXSPAM3_MAIL_3 /\bgratis/i
body __DROPBOXSPAM3_MAIL_4 /\bregistrer/i
body __DROPBOXSPAM3_MAIL_5 /\bsexy/i
meta DROPBOXSPAM3_MAIL (__DROPBOXSPAM2_MAIL_1 && __DROPBOXSPAM2_MAIL_2 && __DROPBOXSPAM2_MAIL_3 && __DROPBOXSPAM2_MAIL_4 && __DROPBOXSPAM2_MAIL_5)
score DROPBOXSPAM3_MAIL 10.0
describe DROPBOXSPAM3_MAIL Message contains the words heite, single, gratis, registrer, sexy
26-10-2016, 11:09 door Anoniem
Door Anoniem: @SecGuru_OTX

Ondertussen staat je mailadres wel boven vermeld, hetgeen ongetwijfeld leidt tot nóg meer spam.

Ik googlede even met dat mailadres maar vond het alleen hier op deze site. Misschien toch beter ven weghalen voordat de 'bots' je mailadres hiervandaan hebben gekopieerd?


Aangezien hij om spam mails vraagt is het voor hem denk ik eerder een uitdaging om uit te zoeken waar eventuele spam op zijn adres vandaan komt..
26-10-2016, 12:26 door Anoniem
Ik ontving ik net een van de 'SNS Bank' van emailadres 'diginieuws@mail.nl' in mijn outlook spambox, compleet met (amateuristische) foto's van het apparaatje:

Onderwerp "Uw digipas wordt binnenkort gedeactiveerd."

Beste klant,

Uit ons systeem is gebleken dat u nog steeds geen gebruikt maakt van de nieuwe Digipas 2.0. De Digipas 2.0 is de
opvolger van de normale Digpas die u momenteel bezit. SNS Bank biedt haar klanten een zo veilig mogelijke virtuele
omgeving aan om bankzaken te doen met maximaal gebruiksgemak. De oude Digipas speelt hierbij een
belangrijke rol, maar biedt niet altijd de flexibiliteit en gebruiksvriendelijkheid die we voor onze klanten
nastreven. De nieuwe Digipas 2.0 maakt gebruik van nieuwe technologieën en biedt nu en in de toekomst
meer mogelijkheden.

DIGIPAS 2.0
De nieuwe Digipas 2.0 maakt gebruik van een ingebouwde camera. Door het scannen van een kleurcode
logt u in op uw Mijn SNS en ondertekent u ook u betaalopdrachten. Bij betalingen via de SNS Mobiel
Bankieren app heeft u in sommige gevallen ook de nieuwe Digipas 2.0. Voor een goede scan houdt u
de Digipas 2.0 vijftien tot twintig centimeter van het scherm. Vervolgens ziet u op de Digipas 2.0
wat u ondertekent.

RECYCLEN
In Nederland zijn miljoenen mobiele telefoons, tablets, e-readers, mp3's en laptops in gebruik. Naast de
toestellen die in gebruik zijn, ligt er een groot aantal ongebruikt of defect, ergens in de kast. Uiteindelijk
komen deze ongebruikte/defecte apparaten terecht in het milieu. Deze apparaten inclusief de batterijen
bevatten elementen die, als ze niet op de juiste manier verwerkt worden, schade aan het milieu aanrichten.
Daarom is het belangrijk dat deze elementen op verantwoorde wijze worden verwijderd om het milieu zo min
mogelijk te belasten. Wij zijn een campagne begonnen met een recycle inleverpunt. Door uw verouderde digipas
op te sturen voor recycle ontvangt u uw nieuwe digipas volledig gratis.

AANVRAAG
Alle oude Digipassen zullen over 5 dagen gedeactiveerd worden. U kunt dan geen gebruik meer maken
van de oude Digipas. De nieuwe Digipas 2.0 (t.w.v. 34,99EUR) is geheel gratis als u mee doet aan de
bovenstaande actie. De nieuwe digipas kunt u hier aanvragen.
Vraag uw Digipas 2.0 nu aan

VOORDELEN

meer gebruiksgemak door scannen van kleurcodes
minder gegevens invoeren dan met de oude Digipas
veilig online bankieren

SCHERMWIJZIGINGEN

inlogscherm van Mijn SNS
registratie en signeerscherm van SNS Mobiel Bankieren
signeerscherm van de SNS betaalomgeving van iDEAL
signeerscherm van de betaalomgeving voor creditcards van SNS


BEZORGING
Na dat uw aanvraag verzonden is en door een SNS medewerker goed gekeurd is krijgt u uw
Digipas 2.0 thuis toegestuurd. U ontvangt een sms met de tijdstip van bezorging.
Uw Digipas 2.0 wordt geleverd door PostNL.

Met vriendelijke groet,
SNS Bank

--------------------------------------

Yeah, sure
26-10-2016, 12:29 door Anoniem
Foutje in de laatste regels:

meta DROPBOXSPAM3_MAIL (__DROPBOXSPAM2_MAIL_1 && __DROPBOXSPAM2_MAIL_2 && __DROPBOXSPAM2_MAIL_3 && __DROPBOXSPAM2_MAIL_4 && __DROPBOXSPAM2_MAIL_5)

moet zijn:

meta DROPBOXSPAM3_MAIL (__DROPBOXSPAM3_MAIL_1 && __DROPBOXSPAM3_MAIL_2 && __DROPBOXSPAM3_MAIL_3 && __DROPBOXSPAM3_MAIL_4 && __DROPBOXSPAM3_MAIL_5)
26-10-2016, 13:59 door Anoniem
De inhoud van de mail is telkens hetzelfde. Volgens mij kun je hier vrij simpel een filter voor maken.

De tekst betreft:
Hai schatje

Ik ben nieuw op deze site en vertel je er graag over!

Vrienden vertellen mij verhalen om van te smullen, maar ik vond ze altijd te mooi om waar te zijn.

Spannende verhalen worden verteld door mensen zoals ik die geinteresseerd zijn in vrijblijvende relaties. Het is GRATIS en er zijn enorm veel ruimdenkende, aantrekkelijke, sexy mannen en vrouwen die graag willen flirten, chatten, ontmoeten en SLUIT JE AAN!

Ik weet zeker dat het een goede zaak is dat IEDEREEN hiervan weet.

Bezoek de site

Ik hoop je daar snel te zien

Kusjes.
26-10-2016, 17:23 door SecGuru_OTX
Door Anoniem: @SecGuru_OTX

Ondertussen staat je mailadres wel boven vermeld, hetgeen ongetwijfeld leidt tot nóg meer spam.

Ik googlede even met dat mailadres maar vond het alleen hier op deze site. Misschien toch beter ven weghalen voordat de 'bots' je mailadres hiervandaan hebben gekopieerd?

Idd, hoe meer spam, trojans en ramsomware des te beter. Ik ben blij met ieder voorberld. Dit is mijn e-mail honeypot;-)
26-10-2016, 18:44 door Anoniem
Deze spamrun is zondag avond laat begonnen en loopt nog steeds volop door nu...

We hebben er hier sinds maandag ochtend al meer dan 120.000 langs zien komen.

Filteren op spamvertized URL is geen doen, want spammert heeft kennelijk beschikking over honderden verschillende URL's om naar te linken.

Filteren op tekst uit het mailtje bleek het meest effectief:

Laatste score:

------------------------------
spam phrase string | matched
------------------------------
te heite single | 3620
snelle seks | 8846
vrouwen willen seks | 8790
Liefde is dichtbij en wij kunnen je helpen! | 8765
Jouw volgende date wacht op jou! | 8873
Je hoeft vannacht niet alleen te zijn... | 8738
iemand wil met je chatten! | 8654
heeft lekkere seks! | 5918
Ik ben nieuw op deze site en vertel je | 5791
Op zoek naar seks | 8978
Chatten met een spannend persoon | 8600
Ben je klaar voor de liefde? | 8662
Anderen beleven nu een avontuurtje | 17351
Waarom zou je naaktfoto | 8901

Met bovenstaande strings pak je ze allemaal.
27-10-2016, 09:53 door Anoniem
@18:44 Anoniem "Met bovenstaande strings pak je ze allemaal."

Niet echt:
Spannende vrouwen willen seks met je.
Ben je klaar om de ware te ontmoeten?


Enz.
27-10-2016, 12:17 door Anoniem
ik heb echt al jaren een gmail adres welke ik bijna overal voor gebruik krijg ook regelmatig spam welke netjes in de spam folder komt maar heb nog geen enkele spam mail ontvangen van wat hierboven genoemd wordt.
27-10-2016, 13:55 door Anoniem
Door Anoniem: ik heb echt al jaren een gmail adres welke ik bijna overal voor gebruik krijg ook regelmatig spam welke netjes in de spam folder komt maar heb nog geen enkele spam mail ontvangen van wat hierboven genoemd wordt.
Ja, wat wil je daarmee zeggen?
27-10-2016, 14:30 door Anoniem
Door Anoniem:
Door Anoniem: ik heb echt al jaren een gmail adres welke ik bijna overal voor gebruik krijg ook regelmatig spam welke netjes in de spam folder komt maar heb nog geen enkele spam mail ontvangen van wat hierboven genoemd wordt.
Ja, wat wil je daarmee zeggen?

dat ik het apart vind waarom ik nog niets van deze hele "spamrun" gemerkt heb als ik b.v. hierboven lees "We hebben er hier sinds maandag ochtend al meer dan 120.000 langs zien komen. "
27-10-2016, 14:35 door Anoniem
Door Anoniem: ik heb echt al jaren een gmail adres welke ik bijna overal voor gebruik krijg ook regelmatig spam welke netjes in de spam folder komt maar heb nog geen enkele spam mail ontvangen van wat hierboven genoemd wordt.
Als dit gmail adres niet publiekelijk op internet gebruikt wordt, met name op sites als Dropbox of LinkedIn of een andere site/dienst die recentelijk gehackt is waarbij dus miljoenen mail adressen buit zijn gemaakt, dan heb je hier inderdaad geen last van.
27-10-2016, 14:53 door Anoniem
Door Anoniem:
Door Anoniem: ik heb echt al jaren een gmail adres welke ik bijna overal voor gebruik krijg ook regelmatig spam welke netjes in de spam folder komt maar heb nog geen enkele spam mail ontvangen van wat hierboven genoemd wordt.
Als dit gmail adres niet publiekelijk op internet gebruikt wordt, met name op sites als Dropbox of LinkedIn of een andere site/dienst die recentelijk gehackt is waarbij dus miljoenen mail adressen buit zijn gemaakt, dan heb je hier inderdaad geen last van.
Je kunt je mailadres testen op https://haveibeenpwned.com/
Alle spam-mails die wij binnen onze organisatie hebben ontvangen op de betreffende mailaccounts staan allen publiekelijk gelist n.a.v. de DropBox Hack.
27-10-2016, 21:28 door Anoniem
/[a-z]+\.php\?[a-z]\=146\&[\w]+\=[\w]+\&J9p\=[\w]{3}\&/
geen last meer van.
27-10-2016, 23:15 door Anoniem
Het wordt met de dag erger. Vandaag 48 stuks, wel allemaal in de spambox van outlook. Maar toch..
28-10-2016, 09:54 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: ik heb echt al jaren een gmail adres welke ik bijna overal voor gebruik krijg ook regelmatig spam welke netjes in de spam folder komt maar heb nog geen enkele spam mail ontvangen van wat hierboven genoemd wordt.
Als dit gmail adres niet publiekelijk op internet gebruikt wordt, met name op sites als Dropbox of LinkedIn of een andere site/dienst die recentelijk gehackt is waarbij dus miljoenen mail adressen buit zijn gemaakt, dan heb je hier inderdaad geen last van.
Je kunt je mailadres testen op https://haveibeenpwned.com/
Alle spam-mails die wij binnen onze organisatie hebben ontvangen op de betreffende mailaccounts staan allen publiekelijk gelist n.a.v. de DropBox Hack.

dit was mij inderdaad bekend en hier staat het gmail adres ook in alleen niet bij dropbox hack maar wel bij onderstaande:
LinkedIn: In May 2016
Adobe: In October 2013,
28-10-2016, 10:25 door Anoniem
Door Anoniem:
dit was mij inderdaad bekend en hier staat het gmail adres ook in alleen niet bij dropbox hack maar wel bij onderstaande:
LinkedIn: In May 2016
Adobe: In October 2013,
Dan is dat de reden waarom je de spam-mails momenteel niet ontvangt, de spamrun van(af) afgelopen zondag wordt (zo lijkt het althans) tegen de email adressen lijst van de DropBox Hack aangehouden ....
28-10-2016, 11:41 door Anoniem
Spamassassin rules werken super!
Sinds de implementatie geen enkele spam mail er meer door heen maar alles naar de spambox.

Bij deze bedankt!!
28-10-2016, 14:57 door Anoniem
De detectie regels werken natuurlijk als ze eenmaal beschikbaar zijn.
De narigheid ontstaat voordat er zgn. rules beschikbaar zijn of er van detectie sprake is.
Vandaar waarschijnlijk de reden dat men deze draad over dit onderwerp startte.

Natuurlijk ben je altijd en onder alle omstandigheden spekkoper
als je je eigen reguliere expressies voor detectie kan opstellen,
maar dat is helaas nog niet ieder gegeven. Technische IT weet hier echter wel van wanten.

Leuk om te zien waar Anoniem van 21:28 begint met een check op een alfanumerieke string binnen een tag of een hex representatie ervan en om om de HTML entiteit te zien decoderen voor het framework.

Met de juiste snort regels, of Fortinet's suricata regels komt men er ook.

Zouden ze hem hier bijvoorbeeld al hebben toegevoegd?
Re: https://www.proofpoint.com/us/daily-ruleset-update-summary

GMane doet op dit vlak ook zeer goed werk.

Toch is er niet zo heel veel onderzoek gedaan naar de servers die het internet besmetten met zulke spam botnet trojanen.
Lees over het onderzoek naar de zgn. Gootkit C&Cserver van de hand van twee Kaspersky onderzoekers: https://securelist.com/blog/research/76433/inside-the-gootkit-cc-server/
Intrigerend leesvoer voor sommigen onder ons. Er valt af en toe wat te smullen. Goed om er wat van op te steken!

Beveiliging tegen spambots het blijft een enerverende wereld om te onderzoeken en de uitdaging is vrij eindeloos.\

Want wanneer houdt het spammen via bots op? Ik vrees van niet zo snel.

Maar wat we kunnen doen is bijvoorbeeld:
- captcha's die echter niet tegen OCR van de spambots werken.
- maken dat links niet werken - link wordt genegeerd na parsing,
data gaat naar de database en de link bestaat dan in feite niet meer.
- een honeypot opzetten
- IP verificatie gedurende een minuut of 10 na registreren.
28-10-2016, 20:20 door Anoniem
Ook hier ineens echt bakken vol met spam die binnenkomt op m'n spamfilter.
Bij mij op een gewoon privé domein 250 mails per uur, en soms (ochtend) ineens helemaal niets.

Gelukkig houd m'n filter het allemaal tegen (cloud inkoop van NL partij) maar duidelijk dat er echt iets gaande is.

Alles wat ik in quarantaine terug kan vinden heeft dezelfde onderwerpregels, maar naar echt elk mailadres dat waarschijnlijk ooit ergens is gebruikt terug te vinden.
28-10-2016, 20:33 door Anoniem
Ik krijg ook tientallen van deze smap mails dagelijks; ben ervan geschrokken (was een weekje met vakantie, las daar mijn mail niet). Mijn mailbox puilde uit van deze shit. Hoe kan dit en hoe kom ik er van af??? HELP!
28-10-2016, 21:18 door Anoniem
Heel erg bedankt voor de SpamAssassin rules voor /etc/mail/spamassassin/local.cf

Gepost op: 26-10-2016, 10:11 door Anoniem

Werkt perfect!

Groet Andries
29-10-2016, 00:16 door [Account Verwijderd]
Door Anoniem: Ik krijg ook tientallen van deze smap mails dagelijks; ben ervan geschrokken (was een weekje met vakantie, las daar mijn mail niet). Mijn mailbox puilde uit van deze shit. Hoe kan dit en hoe kom ik er van af??? HELP!

Hoe kan dit : Lees deze thread.
Hoe kom ik er vanaf : Goede spam filtering. Dat kan je vaak bij je provider kopen, of bv met voorbeelden uit deze thread (spamassasin).
't Is echter niet iets om "geschrokken" over te zijn of "HELP" te gaan roepen. 't Is spam, niet veel meer dan dat. Berichtjes verwijderen, klaar.
30-10-2016, 15:23 door Anoniem
Er zit een foutje in de Spamassasin rules:


meta DROPBOXSPAM3_MAIL (__DROPBOXSPAM2_MAIL_1 && __DROPBOXSPAM2_MAIL_2 && .....


Waar hier "...SPAM2_" staat moet natuurlijk "...SPAM3_" staan (anders komen de Zweedse uitnodigingen er toch nog door....)
31-10-2016, 09:35 door Anoniem
Ik heb inmiddels een content filter geactiveerd die de body doorzoekt op

"Bezoek de site"
"Klik hier om mee te doen"
"Det er gratis å bli med"

De berichten worden in een aparte queue geplaatst om te beoordelen op false positives. Sinds dit filter actief is zijn er zo'n 3500 berichten tegengehouden, met nul false positives. Ik had er dagelijks meer dan 20 in mijn diverse inboxen.
31-10-2016, 21:07 door Patrick_st
We zijn nu een week verder en ons spamfilter heeft nog geen oplossing hier tegen.
Outlook zet de mails in ongewenst maar ons spamfilter laat ze vrolijk door.

Ik heb ondertussen wel handmatig wat rules toegevoegd zodat de mails niet meer doorkomen maar toch.
Dezelfde mails komen dagelijks tientallen keren voorbij.

Iemand een idee waar dit vandaan komt en waarom veel spamfilters hier nog geen oplossing tegen hebben?
Is deze spam gericht op de Nederlandse markt of wordt gekeken naar het toplevel domain van de ontvanger om de taal te bepalen?
01-11-2016, 00:07 door Anoniem
Door Patrick_st:
Iemand een idee waar dit vandaan komt en waarom veel spamfilters hier nog geen oplossing tegen hebben?
Is deze spam gericht op de Nederlandse markt of wordt gekeken naar het toplevel domain van de ontvanger om de taal te bepalen?

Het is internationaal, volgens mij kijkt het inderdaad naar de tld, Misschien naar de locatie van het IP van de MX?

Het komt van alle ongepatchde Joomla sites, na de security lekken van 1, 2 en 3 oktober vinden mensen het nog steeds niet nodig om te updaten. Iedereen die iets anders draait dan 3.6.4 staat gewoon open, en hier wordt heel actief op gescanned.

Omdat al die joomla sites op "schone" ip's draaien, de tekst vrij divers en in meerdere talen is geschreven dendert het rechtstreeks door de meeste filters heen. Ik denk dat de tekst ook ontworpen is om niet door bijv SA afgevangen te worden.

Hier onze noodoplossing voor SA. Geen idee wat er nog door komt.

header __MS_OKT2016s subject =~ /Ben je klaar om de ware te ontmoeten|He\, iemand wil met je chatten|Ben je klaar voor de liefde|Jouw volgende date wacht op jou||Je hoeft vannacht niet alleen te zijn|Liefde is dichtbij en wij kunnen je helpen|Chatten met een spannend persoon begint HIER|Op zoek naar seks|Beautiful girl wants to meet|Ben je geil|willen zien als je hier toegang hebt|Maybe I fuck|Hello Dearest\,|I want to learn something about you|Spannende vrouwen willen seks met je|Vind vanavond snelle seks|Op zoek naar seks\? Kijk niet verder|geef eens een teken van leven|Anderen beleven nu een avontuurtje/
meta MS_OKT2016 ( __MS_OKT2016s )
score MS_OKT2016 25
01-11-2016, 07:34 door Anoniem
Laten we ook de 'Poker sites' spammers niet vergeten want die zijn ook weer 'goed' bezig de laatste tijden.

U weet wel dat soort van SPAM berichten die u een 'startgeld' weten aan te bieden om een even mee te Pokeren en daarna mocht u er volledig ingetrapt zijn eisen dat u verder gaat met accounts maken, gelden ... (Ik heb het zelf nooit meegemaakt maar een kennis van me heeft daar wel 'weet' van)
01-11-2016, 17:48 door Anoniem
Door Anoniem: Ik krijg ook tientallen van deze smap mails dagelijks; ben ervan geschrokken (was een weekje met vakantie, las daar mijn mail niet). Mijn mailbox puilde uit van deze shit. Hoe kan dit en hoe kom ik er van af??? HELP!

Zoals een ander ook al aangeeft; de antwoorden staan al in de draad. Inlezen is het enige wapen. Dit is een van de meest voorkomende "problemen" met de kleinste impact van het hele internet.
01-11-2016, 21:55 door tc1dft
Door Patrick_st: Vandaag zo'n 50 spam mails binnen gekregen op mijn account.


ik meldingen dat deze mails massaal door het spamfilter komen.

http://flirthookup6.com/
http://thailandcleaners.com/ ... Lekker schoon dat wassen zeg
http://thailandcleaners.com/header.php?k=148&5hb2QkTLP=Xfkv4FKoN&JqY=9f3&YwZ=BN

Wat kan ik doen lijers....

Tinus .
02-11-2016, 13:00 door Anoniem
Spam komt ook binnen op mijn e-mailadres voor sloopdecrisis.nl. Blijkbaar zijn daar ook adressen gejat...
03-11-2016, 07:36 door Anoniem
Bij mij ook zo, ook via mijn email adres dat ik heb gebruikt voor alleen sloopdecrisis.nl
03-11-2016, 17:53 door Anoniem
Bij sloopdecrisis dot nl is er sprake van onveilige IDs tracking:

100% of the trackers on this site could be protecting you from NSA snooping.
Tell sloopdecrisis.nl to fix it.

Identifiers | All Trackers
Insecure Identifiers
Unique IDs about your web browsing habits have been insecurely sent to third parties.

89=lx__kvp7j5zcc4vpt1yk52sn6q_5jzjXXXXXXXXXfadcu81t1flvyhtmfs3jbbd2a1glh0lmiacpbchmlfz1-vktjivr_k9o04lrnd0w6bxnbreyb9vot98mpnjt61xXXXXXXXXeelmfcctzc5qyoa7rp8cta www.google.com nid

en juist
<script src="-https://www.google.com/recaptcha/api.js"></script> Missing SRI hash
heeft geen "Same Origin". Voor het overige zit je goed met je groene A status! Google api flikt je dit!

Ik denk dat je een slachtoffer van het zogenaamde "scrapen" bent geweest
en dan kun je voor de spam hoofdprijs gaan en het verder wel schudden.
Jammer, beveiliging is echt een vak apart. Blijven opletten!
04-11-2016, 11:43 door Anoniem
Is deze spam nog steeds gaande?

Ik heb in Office365 een regel aangemaakt dat kijkt op onderwerp niveau (onderwerpen zoals eerder aangegeven) en er blijkt niks meer door te komen..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.