Security Professionals - ipfw add deny all from eindgebruikers to any

phishing domeinen abn-amro en vodaphone

16-07-2017, 09:12 door Anoniem, 17 reacties
Alleen voor security professionals!

Er zijn gisteren phishing domeinen voor abn-amro en vodaphone geregistreerd op de ru top level domain (tld):

abnamro-nv punt ru
vodafone-thuis punt ru

De abnamro-nv site toont files en directories en een "mirror" van de www.abnamro.nl site is zichtbaar.

o.a.
/README.txt (aanwijzingen van de phisher voor de ontwikkelaar)
/DESKTOP.zip (www.abnamro.nl "mirror" archief)

Er wordt gerefereerd naar domein "nieuwste-protocol2017 punt eu" in een log van HTTrack Website Copier/3.49-2.

Diverse spelfouten en grammaticafouten wijzen op een handmatige vertaling naar Nederlands.
Reacties (17)
16-07-2017, 11:59 door SecGuru_OTX
Dank voor het delen.
17-07-2017, 10:30 door Anoniem
Soms komen ze binnen met .nl domeinen. Vaak is een abuse-report bij de registrar voelde om de offline te halen.
Gaat vaak erg snel. Bij buitenlanndse toko's duurt het wat langer.
18-07-2017, 10:42 door Anoniem
Dank voor het delen!
18-07-2017, 12:30 door Anoniem
Hoe komt iemand op zo’n site terecht? Klikken op een link die op .ru eindigt???
18-07-2017, 13:03 door Anoniem
Door Anoniem: Hoe komt iemand op zo’n site terecht? Klikken op een link die op .ru eindigt???

een email waar de link bijvoorbeeld verstopt zit achter een abn-amro knop of logo
18-07-2017, 14:58 door Anoniem
Dit soort informatie mag je doorsturen naar valse-email@nl.ambnamro.com Zij zullen dan zorgen dat er een verzoek voor een notice takedown komt.
18-07-2017, 15:57 door Anoniem
Door Anoniem: Dit soort informatie mag je doorsturen naar valse-email@nl.ambnamro.com Zij zullen dan zorgen dat er een verzoek voor een notice takedown komt.

AMB?

Op https://www.veiligbankieren.nl/meldnummers/ staan ze allemaal ;)
18-07-2017, 20:54 door Bitwiper
Door Anoniem 18-07-2017, 15:57: Op https://www.veiligbankieren.nl/meldnummers/ staan ze allemaal ;)
Hee, handige pagina. Kende ik nog niet, dank!
28-07-2017, 08:01 door Anoniem
Gisteren (27-07-2017) zijn weer phishing domeinen geregistreerd onder de ru tld:

abnamro-online punt ru
ing-nederland punt ru
telfort punt ru

Deze keer gericht op ABNAMRO, ING en Telfort klanten.

De phishing sites zijn al actief op IP 18.220.65.88.

Firefox geeft een waarschuwing dat de verbinding onveilig is voor wachtwoorden.
28-07-2017, 09:09 door Anoniem
Het heeft weinig zin om dat hier te publiceren, meldt het bij valse-email@bank. Daar wordt het direct opgepakt. Het publiek hier in het algemeen te klein om er iets aan te hebben.
28-07-2017, 09:55 door Anoniem
Het heeft weinig zin om dat hier te publiceren, meldt het bij valse-email@bank. Daar wordt het direct opgepakt. Het publiek hier in het algemeen te klein om er iets aan te hebben.

Jij hebt er weinig aan. Dat wil niet zeggen dat dit algemeen geldend is. Onder het 'publiek' hier zitten heel veel IT beveiligers en dergelijke. Misschien dat die deze info interessant vinden voor blocking, log analysis e.d.
28-07-2017, 10:54 door Anoniem
Door Anoniem: Het heeft weinig zin om dat hier te publiceren, meldt het bij valse-email@bank. Daar wordt het direct opgepakt. Het publiek hier in het algemeen te klein om er iets aan te hebben.

waar heb je het over, ik ben 2,03 meter...
28-07-2017, 11:44 door Anoniem
Dank voor de update! ben er blij mee, keep it up
30-07-2017, 08:24 door Anoniem
Nog een geregistreerd op 29 juli 2017:

bankieren punt ru

Deze site is ook actief op 18.220.65.88, momenteel met een korte TTL van 600 (10 minuten). De site bevat valse ING inlogpagina.

Dat IP is van Amazon en het wordt kennelijk gebruikt door Chineestalige malwarecriminelen:

https://www.hybrid-analysis.com/sample/5df6e42bac3fd7199711df7b763cca98e99d48140b8d951e3ea1022d6efede00?environmentId=100&lang=en

https://www.hybrid-analysis.com/sample/706b91b07821639d32232e1d29a7583fdd9c6e7cbb0a1dee4ff769dda1e40b27?environmentId=100&lang=en

https://www.hybrid-analysis.com/sample/5a1f0bf7e5f97afab02a3a573a6ddc75b2a7cf79b5ba084f47f516cd661d8a51?environmentId=100&lang=en
30-07-2017, 09:00 door Anoniem
Ook geregistreerd op 29-7-2017:
portaal punt ru

Deze site heeft dezelfde IP en toont een valse ABN-AMRO inlogpagina.

http://ip-www.net/18.220.65.88 toont nog meer domeinen op dit IP.
31-07-2017, 08:52 door Anoniem
Geregistreerd op 30-7-2017:

kpnwebmail punt ru
31-07-2017, 11:38 door Anoniem
Dank, verwerkt :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.