Security Professionals
- ipfw add deny all from eindgebruikers to any
Phishing domeinen
04-06-2017, 13:50 door Anoniem, 12 reacties
Er zijn zaterdag weer diverse ru tld phishing domeinen geregistreerd, waaronder een aantal gericht op nederlandstalige ontvangers.
apple-validatie punt ru
appleverificatie punt ru
de-volksbank punt ru
fr-bnpparibas punt ru
icscards-validatie punt ru
ing-certificaat punt ru
Toe te passen op domein-, URL- en RPZ bloklijsten. Bijvoorbeeld in email filters, firewalls of name servers.
FAQ
* Dit is een bericht in de rubriek Security Professionals, d.w.z. niet voor eindgebruikers.
* Ik geef niet aan hoe ik hieraan kom. Domeinen zijn verifieerbaar via whois.
* Geef gerust aan hoe/waar phishing (al dan niet in specifieke gevallen) kan worden gemeld, voor algemeen belang.
* Het staat je vrij melding te doen bij banken, hosters, ru registry, domeinverkopers of registrars, overheid, etc. Wees voorzichtig met meldingen aan providers, die kunnen ze doorsturen naar de internetcriminelen zelf, inclusief jouw contactgegevens.
apple-validatie punt ru
appleverificatie punt ru
de-volksbank punt ru
fr-bnpparibas punt ru
icscards-validatie punt ru
ing-certificaat punt ru
Toe te passen op domein-, URL- en RPZ bloklijsten. Bijvoorbeeld in email filters, firewalls of name servers.
FAQ
* Dit is een bericht in de rubriek Security Professionals, d.w.z. niet voor eindgebruikers.
* Ik geef niet aan hoe ik hieraan kom. Domeinen zijn verifieerbaar via whois.
* Geef gerust aan hoe/waar phishing (al dan niet in specifieke gevallen) kan worden gemeld, voor algemeen belang.
* Het staat je vrij melding te doen bij banken, hosters, ru registry, domeinverkopers of registrars, overheid, etc. Wees voorzichtig met meldingen aan providers, die kunnen ze doorsturen naar de internetcriminelen zelf, inclusief jouw contactgegevens.
Reacties (12)
04-06-2017, 15:18 door
SecGuru_OTX
Dank voor het delen, dit soort info is altijd waardevol.
Goed gevonden, Poodle kwetsbaarheid op de Apache server misbruikt en pretcertificaat ellende via Lests Encrypt Authority X3 certificaat.
Het misbruik vindt plaats op AS61396 Okno-TV Ltd en geregistreed via webuzo dot com
San: -apple-validatie dot ru, -appleverificatie dot ru, -bankofamerica-100040. dot u, -de-volksbank dot ru, -deutschland-volksbank dot ru, -fr-bnpparibas dot ru,- icscards-validatie dot ru, -ing-2048bitscertificaat dot ru, -ing-certificaat dot ru, -ing-sslcertificaat dot ru, -mabanque-bnpparibas dot ru, -mijn.ing-2048bitscertificaat dot ru, -mijn.ing-sslcertificaat dot ru
Dank voor de "heads-up" voor deze nieuwe mogelijk refferer spam phishers.
Het misbruik vindt plaats op AS61396 Okno-TV Ltd en geregistreed via webuzo dot com
San: -apple-validatie dot ru, -appleverificatie dot ru, -bankofamerica-100040. dot u, -de-volksbank dot ru, -deutschland-volksbank dot ru, -fr-bnpparibas dot ru,- icscards-validatie dot ru, -ing-2048bitscertificaat dot ru, -ing-certificaat dot ru, -ing-sslcertificaat dot ru, -mabanque-bnpparibas dot ru, -mijn.ing-2048bitscertificaat dot ru, -mijn.ing-sslcertificaat dot ru
Dank voor de "heads-up" voor deze nieuwe mogelijk refferer spam phishers.
Doe daar de volgende domeinen maar bij.
bankofamerica-100040 punt ru
deutschland-volksbank punt ru
fr-bnpparibas punt ru
ing-2048bitscertificaat punt ru
ing-sslcertificaat punt ru
mabanque-bnpparibas punt ru
mijn.ing-2048bitscertificaat punt ru
mijn.ing-sslcertificaat punt ru
bankofamerica-100040 punt ru
deutschland-volksbank punt ru
fr-bnpparibas punt ru
ing-2048bitscertificaat punt ru
ing-sslcertificaat punt ru
mabanque-bnpparibas punt ru
mijn.ing-2048bitscertificaat punt ru
mijn.ing-sslcertificaat punt ru
Door Anoniem: Poodle kwetsbaarheid op de Apache server misbruikt en pretcertificaat ellende via Lests Encrypt Authority X3 certificaat.
Poodle is een man in the middle probleem. Heeft hier niets mee te maken.@ Anoniem van 01:18
Ik zeg niet dat Poodle het probleem is, lees je dat daar dan ergens expliciet uit? Heb ik echt niet zo gezegd, hoor.. Ik vond alleen de Poodle kwetsbaarheid bij de Let's Encrypt certificaat scan. Niets meer niets minder. Heeft hier inderdaad niets mee te maken, maar geeft wel aan dat er in het algemeen iets niet goed kan zitten betreffende de configuratie van de servers waarmee wordt gewerkt.
Voor de narigheid hebben we niet veel meer nodig dan een "vijfde kolonne", die allang binnen is. Een keer een bezoekje brengen bij de ING bank en je e-mail adres vermelden en je mail junk box loopt gegarandeertd later vol.
Gratis webmail diensten en gratis certificeringsdiensten, het heeft meer nadelen dan voordelen soms. Er wordt niet voor niets voor of zeg liever tegen gewaarschouwd.
Ik zeg niet dat Poodle het probleem is, lees je dat daar dan ergens expliciet uit? Heb ik echt niet zo gezegd, hoor.. Ik vond alleen de Poodle kwetsbaarheid bij de Let's Encrypt certificaat scan. Niets meer niets minder. Heeft hier inderdaad niets mee te maken, maar geeft wel aan dat er in het algemeen iets niet goed kan zitten betreffende de configuratie van de servers waarmee wordt gewerkt.
Voor de narigheid hebben we niet veel meer nodig dan een "vijfde kolonne", die allang binnen is. Een keer een bezoekje brengen bij de ING bank en je e-mail adres vermelden en je mail junk box loopt gegarandeertd later vol.
Gratis webmail diensten en gratis certificeringsdiensten, het heeft meer nadelen dan voordelen soms. Er wordt niet voor niets voor of zeg liever tegen gewaarschouwd.
Door Anoniem: @ Anoniem van 01:18
Gratis webmail diensten en gratis certificeringsdiensten, het heeft meer nadelen dan voordelen soms. Er wordt niet voor niets voor of zeg liever tegen gewaarschouwd.
Gratis webmail diensten en gratis certificeringsdiensten, het heeft meer nadelen dan voordelen soms. Er wordt niet voor niets voor of zeg liever tegen gewaarschouwd.
Hier haal je duidelijk wel de verschillen. Er zijn veel gratis webmail leveranciers die beter werken dan menige betaalde webdienst.
Maar met de gratis certificaatdiensten.... Daar is het Internet niet veiliger door geworden.
Door Anoniem: Doe daar de volgende domeinen maar bij.
Goed opgemerkt, opgeschoond is dit de toevoeging op de in de TS genoemde domeinen:
bankofamerica-100040 punt ru
deutschland-volksbank punt ru
ing-2048bitscertificaat punt ru
ing-sslcertificaat punt ru
mabanque-bnpparibas punt ru
De phishers gebruiken DNS wildcards voor host namen. Daardoor kan elke willekeurige hostnaam worden gebruikt. Momenteel verwijst die naar een IP adres van Fastzone, een netwerk in Moskou.
Door Anoniem: @ Anoniem van 01:18
Ik zeg niet dat Poodle het probleem is, lees je dat daar dan ergens expliciet uit? Heb ik echt niet zo gezegd, hoor.. Ik vond alleen de Poodle kwetsbaarheid bij de Let's Encrypt certificaat scan.
Je schreef poodle kwetsbaarheid misbruikt. Wees dan helder, om verwarring te voorkomen.Ik zeg niet dat Poodle het probleem is, lees je dat daar dan ergens expliciet uit? Heb ik echt niet zo gezegd, hoor.. Ik vond alleen de Poodle kwetsbaarheid bij de Let's Encrypt certificaat scan.
Zie ook https://www.virustotal.com/en/ip-address/91.214.119.39/information/
Vermoedelijk allemaal in combinatie met deze run;
https://www.fraudehelpdesk.nl/vragen-meldingen-cpt/ing-maakt-u-al-gebruik-van-een-2048-bits-certificaat/
https://www.fraudehelpdesk.nl/vragen-meldingen-cpt/ing-maakt-u-al-gebruik-van-een-2048-bits-certificaat/
Organisatie hierachter is IT Outsourcing LLC,
ssl-cert: Subject: commonName=ics-cards.ru
| Subject Alternative Name: DNS:abn-amro.su, DNS:ics-card.ru, DNS:ics-cards.ru, DNS:icscard.ru, DNS:nl-abnamro.ru, DNS:tikkie.su
| Not valid before: 2017-05-25T06:00:00
|_Not valid after: 2017-08-23T06:00:00
|_ssl-date: 2017-06-08T16:50:06+00:00;
You have 1 error
Wrong certificate installed.
The domain name does not match the certificate common name or SAN.
Warnings
RC4
Your server's encryption settings are vulnerable. This server uses the RC4 cipher algorithm which is not secure. More information.
SSLv3
Your server's encryption settings are vulnerable. This server uses the SSLv3 protocol, which is not secure. More information.
This server is vulnerable to:
Poodle (SSLv3 protocol)
This server is vulnerable to a Poodle (SSLv3) attack. More information.
Hostname 185.159.129.225 AS64439 Dit AS nummer bestaat kennelijk nog niet en er bestaan geen rapporten over.
De ellende stamt van -http://i.cdnpark.com/themes/registrar/401543.css dat gelukkig voor mij geblokkeerd wordt.
Ook betrokken schijnt : https://static.xx.fbcdn.net/ Dus de ellende stamt weer uit het land van "the bold and the free" en niet zoals we allemaal dachten & wel op het eerste oog tzien met de verzuchting: Het zijn weer de "Ruzzjens". Misschien ook wel maar dan toch altijd nog wel via IT Outsourcing LLC, Gaston, OR, USA. Leuke truuk.
ssl-cert: Subject: commonName=ics-cards.ru
| Subject Alternative Name: DNS:abn-amro.su, DNS:ics-card.ru, DNS:ics-cards.ru, DNS:icscard.ru, DNS:nl-abnamro.ru, DNS:tikkie.su
| Not valid before: 2017-05-25T06:00:00
|_Not valid after: 2017-08-23T06:00:00
|_ssl-date: 2017-06-08T16:50:06+00:00;
You have 1 error
Wrong certificate installed.
The domain name does not match the certificate common name or SAN.
Warnings
RC4
Your server's encryption settings are vulnerable. This server uses the RC4 cipher algorithm which is not secure. More information.
SSLv3
Your server's encryption settings are vulnerable. This server uses the SSLv3 protocol, which is not secure. More information.
This server is vulnerable to:
Poodle (SSLv3 protocol)
This server is vulnerable to a Poodle (SSLv3) attack. More information.
Hostname 185.159.129.225 AS64439 Dit AS nummer bestaat kennelijk nog niet en er bestaan geen rapporten over.
De ellende stamt van -http://i.cdnpark.com/themes/registrar/401543.css dat gelukkig voor mij geblokkeerd wordt.
Ook betrokken schijnt : https://static.xx.fbcdn.net/ Dus de ellende stamt weer uit het land van "the bold and the free" en niet zoals we allemaal dachten & wel op het eerste oog tzien met de verzuchting: Het zijn weer de "Ruzzjens". Misschien ook wel maar dan toch altijd nog wel via IT Outsourcing LLC, Gaston, OR, USA. Leuke truuk.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
