Computerbeveiliging - Hoe je bad guys buiten de deur houdt

ICS phishing mail+site

24-05-2017, 11:40 door Anoniem, 10 reacties
Spam, zo te zien verzonden vanaf 217.100.91.66 (d9645b42.static.ziggozakelijk.nl):
From: International Card Services <service@cards.ics.nl>
Subject: Uw Card is tijdelijk beperkt voor gebruik

Blokkade online omgeving

Geachte [VOORNAAM ACHTERNAAM VERWIJDERD],

International Card Services vindt fraude preventie belangrijk. Om te voorkomen dat anderen misbruik maken van uw Card, voeren wij dan ook regelmatig de nodige controles uit.

Uw online omgeving is geblokkeerd
Uit veiligheidsoverwegingen hebben wij daarom uw toegang tot uw online omgeving geblokkeerd. U kunt hierdoor helaas niet meer aanmelden voor online diensten en u kunt geen betalingen meer doen.

Toegang herstellen
Door op de knop inloggen te drukken, kunt u eenvoudig in een paar stappen uw toegang herstellen.
Dit is slechts eenmalig en wij vragen u dit te doen uit voorzorgmaatregelen.
Er is dus geen misbruik gemaakt van uw card en/of gegevens.

[KNOP] (MET ONZICHTARE LINK NAAR http://www.qmpath.nl/i/in.x?e=[E-MAIL ADRES VAN ONTVANGER])

Wij vertrouwen erop u hiermee voldoende te hebben geïnformeerd.

Met vriendelijke groet,
ICS BV

Dit bericht is verzonden door International Card Services BV, gevestigd aan de Wisselwerking 32 te (1112 XP) Diemen, ingeschreven in het Handelsregister Amsterdam onder nummer 33.200.596.

This message has been sent by International Card Services BV, which has its seat at Wisselwerking 32 (1112 XP) Diemen, the Netherlands, and is registered in the Commercial Register of Amsterdam under number 33.200.596.

Met gewijzig e-mail adres van de ontvanger de link geopend. Er vindt een redirect plaats naar:
hxxps://www.international-card-services.nl/i/logon.x?cmd=_login&e=amFuLmphbnNlbkBqYW5zZW5lbmphbnNlbi5ubA==&b=i
De volgende link werkt echter ook:
hxxps://www.international-card-services.nl/i/logon.x?cmd=_login&b=i

Die phishing site, die sterk lijkt op de echte site heeft een een Comodo DV certificaat dat is afgegeven op 23 mei 2017 02:00:00.
De echte site (https://www.icscards.nl/) heeft een EV certificaat.
Reacties (10)
24-05-2017, 20:47 door [Account Verwijderd]
Altijd OK om dit naar buiten te brengen want het is treurig/triest dat dit soort Phishing overduidelijk lucratief blijft.

Als ik het goed begrijp werd zelfs je voor- en achternaam gebruikt?
Ik had een sterk gelijkende nep ICS mail (ik ben daar klant) enkele weken geleden maar niet gepersonaliseerd.

Algemeen: Als je mail krijgt waarin wordt getoeterd dat een account o.i.d. is geblokkeerd ga je - als je niet volledig overtuigd bent van de onechtheid?? - dus zelf - niet via een link in de betreffende mail - naar de dienstverleners' inlogpagina....Nadere uitleg is overbodig.
24-05-2017, 21:19 door Anoniem
Beide domeinnamen staan op naam van zelfde prive persoon bij provider Hostnet.
Duidelijk foute boel.

Mocht je hem nog niet aan ICS hebben gemaild, valse-email@icscards.nl, dan is dat hulpzaam. Ervaring hier leert dat ICS snel actie neemt.

Ze worden akelig echt. Jammer bij deze is dat Stichting ICS (ander bedrijf dan ICSCards, maar ja, het lijkt nogal), eigenaar van ICS.nl, hun SPF & DMARC niet helemaal op orde hebben, anders had je deze mail nooit in je inbox ontvangen.
24-05-2017, 21:37 door Anoniem
Door Aha: Als ik het goed begrijp werd zelfs je voor- en achternaam gebruikt?
De spam is ontvangen door een collega (werk e-mail) inderdaad met voor- en achternaam. Maar die zijn niet moeilijk uit het SMTP e-mail adres te halen. Mijn collega was wel verbaasd, want hoewel hij wel privé een credit card heeft, heeft hij niet zo'n ding "van de baas".

Misschien wel een nadeel is dat we een goed spamfilter hebben en zelden spam krijgen, de klikkans zou daardoor wel eens groter kunnen zijn (vooral als men toevallig zakelijk zo'n kaart heeft).

Jammer is ook dat Comodo voor een site genaamd "international-card-services" een certificaat afgeeft. Aan de andere kant is een briefkaart ook een "card". ICScards.nl had er verstandiger aan gedaan als ze zichzelf iets als "International Creditcard Services" hadden genoemd. De domeinnaam icscards is trouwens ook best suf (als je de afkorting uitschrijft komt er 2x card in voor).

Als je zelf voor een (gevoelige) site een domeinnaam moet kiezen, denk dan goed na of deze voldoende de lading dekt (pas zo mogelijk de bedrijfsnaam hierop aan). Hopelijk voorkom je daarmee verwarring zoals tussen ics.nl, icscard.nl, icscards.nl en varianten zoals bovenstaand.

Overigens heb ik een mail naar Ziggo en ICScards gestuurd voordat ik hier postte. De nepsite is ondertussen uit de lucht.
24-05-2017, 22:30 door Anoniem
Die voornaam, achternaam kunnen natuurlijk ook gewoon uit een datalek komen als het niet al exact zo in het mailadres zit (voornaam.achternaam@example.com).

Dat de ontvanger dan toevallig een ICS card heeft is dan lucky shot. Maar ja, wie heeft er nu geen ICS card.

Gooi het mailadres maar eens door de molen op https://haveibeenpwned.com
25-05-2017, 11:04 door Briolet - Bijgewerkt: 25-05-2017, 11:22
Door Anoniem:…Jammer bij deze is dat Stichting ICS (ander bedrijf dan ICSCards, maar ja, het lijkt nogal), eigenaar van ICS.nl, hun SPF & DMARC niet helemaal op orde hebben, anders had je deze mail nooit in je inbox ontvangen.

Maar daar kan icscards natuurlijk niets aan doen. Icscards zelf heeft een DMARC policy van 'reject'. Mail uit hun naam verstuurd wordt door een fatsoenlijke mailserver wel tegengehouden.

De spammers hebben bij het spoofen van de afzender handig gebruik gemaakt van het feit dat er ook een firma ICS.NL bestaat en dat ICS een wildcard subdomein ingesteld heeft. Door die wildcard kun je er elk willekeurig subdomein voor plakken en je houdt een geldige domeinnaam. Hierdoor lijkt de mail betrouwbaarder voor spamfilters. ICS heeft wel een SPF policy, en die staat op hard-fail. Maar er is inderdaad geen policy voor subdomeinen. Dat hadden ze zeker ook moeten instellen omdat ze ook een wildcard gebruiken. (zelf heb ik via een wildcard een permanente hard-fail op al mijn subdomeinen gezet)
25-05-2017, 12:59 door SecGuru_OTX - Bijgewerkt: 25-05-2017, 13:00
Door Briolet:
Door Anoniem:…Jammer bij deze is dat Stichting ICS (ander bedrijf dan ICSCards, maar ja, het lijkt nogal), eigenaar van ICS.nl, hun SPF & DMARC niet helemaal op orde hebben, anders had je deze mail nooit in je inbox ontvangen.

Maar daar kan icscards natuurlijk niets aan doen. Icscards zelf heeft een DMARC policy van 'reject'. Mail uit hun naam verstuurd wordt door een fatsoenlijke mailserver wel tegengehouden.

De spammers hebben bij het spoofen van de afzender handig gebruik gemaakt van het feit dat er ook een firma ICS.NL bestaat en dat ICS een wildcard subdomein ingesteld heeft. Door die wildcard kun je er elk willekeurig subdomein voor plakken en je houdt een geldige domeinnaam. Hierdoor lijkt de mail betrouwbaarder voor spamfilters. ICS heeft wel een SPF policy, en die staat op hard-fail. Maar er is inderdaad geen policy voor subdomeinen. Dat hadden ze zeker ook moeten instellen omdat ze ook een wildcard gebruiken. (zelf heb ik via een wildcard een permanente hard-fail op al mijn subdomeinen gezet)

@Briolet,

Ik vraag mij af hoe ik een SPF hard-fail policy kan definieren voor niet bestaande subdomeinen?

Alvast bedankt.
25-05-2017, 14:04 door Anoniem
Ik heb het al vaak gezegd en ik zeg nu nog maar een keer: SPF is geen oplossing voor phishing omdat alles, inclusief het afzenderadres door de spammer wordt bepaald.

De spammer had hier even goed het spam domein als afzender kunnen nemen. Bij sommige mail readers zie je niet eens het afzender email adres. De spammer heeft volledige controle over DNS records en DNS gebaseerde authenticatie.
25-05-2017, 15:39 door Briolet
Door SecGuru_OTX: Ik vraag mij af hoe ik een SPF hard-fail policy kan definieren voor niet bestaande subdomeinen?

Ik heb een TXT record gemaakt voor het wildcard domein "*.mijndomein.nl" met inhoud "v=spf1 -all"

Door de wildcard geld hij voor alle subdomeinen die je geen eigen TXT record geeft.
25-05-2017, 15:46 door SecGuru_OTX
Door Briolet:
Door SecGuru_OTX: Ik vraag mij af hoe ik een SPF hard-fail policy kan definieren voor niet bestaande subdomeinen?

Ik heb een TXT record gemaakt voor het wildcard domein "*.mijndomein.nl" met inhoud "v=spf1 -all"

Door de wildcard geld hij voor alle subdomeinen die je geen eigen TXT record geeft.

Thanks, ik wist niet dat dat ook nog een optie was.
26-05-2017, 13:05 door Anoniem
Door Briolet: Ik heb een TXT record gemaakt voor het wildcard domein "*.mijndomein.nl" met inhoud "v=spf1 -all"

Door de wildcard geld hij voor alle subdomeinen die je geen eigen TXT record geeft.
Als jij en de ontvangende mailserver zich aan RFC4408 houden, matcht:
sub1.mijndomein.nl. wel op *.mijndomein.nl.
sub2.sub1.mijndomein.nl. niet op *.mijndomein.nl.

Zie ook http://www.openspf.org/svn/project/specs/rfc4408.html#anchor14. Daaruit:
Use of wildcards is discouraged in general as they cause every name under the domain to exist and queries against arbitrary names will never return RCODE 3 (Name Error).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.