Nieuwe Nederlandse afpersingsmail over pornosite verstuurd
Oplichters hebben een nieuwe Nederlandse afpersingsmail verstuurd waarin wordt geclaimd dat er beelden zijn gemaakt van de ontvanger terwijl die zich aan het bevredigen was. Om verspreiding van deze beelden te voorkomen moet de ontvanger duizend euro betalen.
"Nieuw aan de mail is dat deze verstuurd lijkt vanuit het e-mailadres van de ontvanger zelf. Dit is echter een trucje van de oplichters. Uw computer is niet gehackt", zo laat de Fraudehelpdesk weten. Er gaan ook Duitse en Engelse versies van de e-mail rond. In tegenstelling tot verschillende afpersingsmails die de afgelopen maanden verschenen maken deze nieuwe afpersingsmails geen gebruik van wachtwoorden die bij datalekken zijn gestolen, maar claimen wel dat de computer van de ontvanger is geïnfecteerd met een virus.
De Fraudehelpdesk stelt dat er geen gevallen bekend zijn waarbij er daadwerkelijk beelden zijn gemaakt. "Het verhaal dat wordt gebruikt om mensen af te persen, is dus nep", aldus de organisatie. Wie de e-mail heeft ontvangen krijgt het advies die te verwijderen.
Reacties (24)
Mensen daarom altijd je camera van laptop tapen, want straks is het wel echt gebeurd en dan ben je lul.
Om dit soort dingen te voorkomen heb ik zelfs de cameras van mijn iphone eruit gehaald.
07-10-2018, 09:07 door
SecGuru_OTX
Als je deze hebt ontvangen, dan is je domein niet goed beschermd tegen Spoofing. (Zowel aanwezigheid van SPF en DMARC als controle hierop)
P.s. de variant is overigens niet nieuw.
P.s. de variant is overigens niet nieuw.
Door SecGuru_OTX: Als je deze hebt ontvangen, dan is je domein niet goed beschermd tegen Spoofing. (Zowel aanwezigheid van SPF en DMARC als controle hierop)
P.s. de variant is overigens niet nieuw.
P.s. de variant is overigens niet nieuw.
Welke domein is dan niet goed bescherm tegen Spoofing?
Hoe beveilig je je hier tegen?
Ook ik ontving deze afpersingsmail, en zie dat er tot op heden niemand zo gek geweest is om de afperser(s) te betalen.
het bitcoinadres laat dat ook zien: 1M3BMAD4DcJFCHasdU2NENahXuszadp51D
https://www.blockchain.com/nl/btc/address/1M3BMAD4DcJFCHasdU2NENahXuszadp51D#
het bitcoinadres laat dat ook zien: 1M3BMAD4DcJFCHasdU2NENahXuszadp51D
https://www.blockchain.com/nl/btc/address/1M3BMAD4DcJFCHasdU2NENahXuszadp51D#
Door Anoniem:
Welke domein is dan niet goed bescherm tegen Spoofing?
Hoe beveilig je je hier tegen?
Door SecGuru_OTX: Als je deze hebt ontvangen, dan is je domein niet goed beschermd tegen Spoofing. (Zowel aanwezigheid van SPF en DMARC als controle hierop)
P.s. de variant is overigens niet nieuw.
P.s. de variant is overigens niet nieuw.
Welke domein is dan niet goed bescherm tegen Spoofing?
Hoe beveilig je je hier tegen?
Het gaat hier om een “nieuwe” variant waarbij jou eigen adres de afzender is. Je moet je eigen domein (en/of van je werkgever, provider of leverancier) dus beter (laten) beschermen.
Een SPF hard fail beleid, met een SPF inbound check, kan dit al voorkomen.
07-10-2018, 11:19 door
Bitwiper
Door SecGuru_OTX: Een SPF hard fail beleid, met een SPF inbound check, kan dit al voorkomen.
Onzin.Het enige dat kaal SPF kan voorkomen is een deel van de troep in jouw inbox als spammers jouw e-email adres in envelope-from hebben gespoofd. Het probleem zijn dan namelijk mailservers die eerst de mail aannemen (en de verbinding verbreken) om er daarna achter te komen dat de mail niet kan of mag worden afgeleverd (mailbox vol, account bestaat niet, of zelfs stom ingerichte servers met virus- en of spam-checkers die "stuur maar terug" roepen).
Alleen indien jouw afzenderdomein SPF is ingericht met -all (en niet met ~all zoals NCSC nog steeds adviseert in de PDF die je hier kunt downloaden: https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html [*]), en de ontvangende MTA (Mail Transfer Agent = mailserver) dat verzoek honoreert -wat ze ook niet allemaal doen- krijg je in elk geval van die spammails geen NDR's (Non-Deliverable Reports) in jouw inbox.
Maar daar gaat het hier niet om: jij claimt dat SPF spam met gespoofd afzenderadres kan stoppen.
De spammer kan echter simpelweg het envelope-from adres laten afwijken van het (door veel mail clients niet eens getoonde) message-from adres. En heeft dan zelfs twee keuzes om ongemoeid gelaten te worden door SPF, namelijk door dat envelope-from adres (waar SPF op checkt):
1) Te vullen met een willekeurig gebruikers-ID @ afzenderdomein waar SPF voor klopt (voor elke spamverzendende zombie PC bestaat wel zo'n domein);
2) Geheel leeg laten (<> dus).
Je hebt minimaal de combinatie van SPF en DMARC nodig op zowel de zendende als de ontvangende MTA, waarbij de zendende MTA FAIL moet eisen bij afwijkingen en de ontvangende MTA dat moet honoreren. Die combinatie bestaat nauwelijks, niet een Gmail houdt zich hieraan.
Zoals ik o.a. in https://www.security.nl/posting/581046/porno+afpersmail+van+jezelf schreef: SPF plus DMARC en/of DKIM en/of DomainKeys zijn een lost race / verspilde moeite als niet iedereen ze keihard inzet - en dat gaat gewoon niet gebeuren door wat collateral damage.
En zelfs als dat allemaal perfect zou werken, heb je er niets aan als MUA's (Mail User Agents = email programma's inclusief webmail):
- Het domein in het afzenderadres niet tonen;
- En als ze dat wel doen, de ontvanger dat niet checkt of niet precies weet hoe die domeinnaam exact moet luiden.
Forget it.
[*] En ja, daar heb ik het NCSC op gewezen kort na het uitkomen van dat document; ze zouden het fixen bij de eerstvolgende versie - die nooit kwam. Waardoor het een waardeloos, sterker: stompzinnig misleidend, document was en is gebleven. Want als 1 onderdeeeltje van SPF+DMARC niet goed staat, is inzet ervan om spoofing te stoppen, geheel zinloos. Te triest voor woorden.
07-10-2018, 11:51 door
SecGuru_OTX
Door Bitwiper:
Het enige dat kaal SPF kan voorkomen is een deel van de troep in jouw inbox als spammers jouw e-email adres in envelope-from hebben gespoofd. Het probleem zijn dan namelijk mailservers die eerst de mail aannemen (en de verbinding verbreken) om er daarna achter te komen dat de mail niet kan of mag worden afgeleverd (mailbox vol, account bestaat niet, of zelfs stom ingerichte servers met virus- en of spam-checkers die "stuur maar terug" roepen).
Alleen indien jouw afzenderdomein SPF is ingericht met -all (en niet met ~all zoals NCSC nog steeds adviseert in de PDF die je hier kunt downloaden: https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html [*]), en de ontvangende MTA (Mail Transfer Agent = mailserver) dat verzoek honoreert -wat ze ook niet allemaal doen- krijg je in elk geval van die spammails geen NDR's (Non-Deliverable Reports) in jouw inbox.
Maar daar gaat het hier niet om: jij claimt dat SPF spam met gespoofd afzenderadres kan stoppen.
De spammer kan echter simpelweg het envelope-from adres laten afwijken van het (door veel mail clients niet eens getoonde) message-from adres. En heeft dan zelfs twee keuzes om ongemoeid gelaten te worden door SPF, namelijk door dat envelope-from adres (waar SPF op checkt):
1) Te vullen met een willekeurig gebruikers-ID @ afzenderdomein waar SPF voor klopt (voor elke spamverzendende zombie PC bestaat wel zo'n domein);
2) Geheel leeg laten (<> dus).
Je hebt minimaal de combinatie van SPF en DMARC nodig op zowel de zendende als de ontvangende MTA, waarbij de zendende MTA FAIL moet eisen bij afwijkingen en de ontvangende MTA dat moet honoreren. Die combinatie bestaat nauwelijks, niet een Gmail houdt zich hieraan.
Zoals ik o.a. in https://www.security.nl/posting/581046/porno+afpersmail+van+jezelf schreef: SPF plus DMARC en/of DKIM en/of DomainKeys zijn een lost race / verspilde moeite als niet iedereen ze keihard inzet - en dat gaat gewoon niet gebeuren door wat collateral damage.
En zelfs als dat allemaal perfect zou werken, heb je er niets aan als MUA's (Mail User Agents = email programma's inclusief webmail):
- Het domein in het afzenderadres niet tonen;
- En als ze dat wel doen, de ontvanger dat niet checkt of niet precies weet hoe die domeinnaam exact moet luiden.
Forget it.
[*] En ja, daar heb ik het NCSC op gewezen kort na het uitkomen van dat document; ze zouden het fixen bij de eerstvolgende versie - die nooit kwam. Waardoor het een waardeloos, sterker: stompzinnig misleidend, document was en is gebleven. Want als 1 onderdeeeltje van SPF+DMARC niet goed staat, is inzet ervan om spoofing te stoppen, geheel zinloos. Te triest voor woorden.
Door SecGuru_OTX: Een SPF hard fail beleid, met een SPF inbound check, kan dit al voorkomen.
Onzin.Het enige dat kaal SPF kan voorkomen is een deel van de troep in jouw inbox als spammers jouw e-email adres in envelope-from hebben gespoofd. Het probleem zijn dan namelijk mailservers die eerst de mail aannemen (en de verbinding verbreken) om er daarna achter te komen dat de mail niet kan of mag worden afgeleverd (mailbox vol, account bestaat niet, of zelfs stom ingerichte servers met virus- en of spam-checkers die "stuur maar terug" roepen).
Alleen indien jouw afzenderdomein SPF is ingericht met -all (en niet met ~all zoals NCSC nog steeds adviseert in de PDF die je hier kunt downloaden: https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html [*]), en de ontvangende MTA (Mail Transfer Agent = mailserver) dat verzoek honoreert -wat ze ook niet allemaal doen- krijg je in elk geval van die spammails geen NDR's (Non-Deliverable Reports) in jouw inbox.
Maar daar gaat het hier niet om: jij claimt dat SPF spam met gespoofd afzenderadres kan stoppen.
De spammer kan echter simpelweg het envelope-from adres laten afwijken van het (door veel mail clients niet eens getoonde) message-from adres. En heeft dan zelfs twee keuzes om ongemoeid gelaten te worden door SPF, namelijk door dat envelope-from adres (waar SPF op checkt):
1) Te vullen met een willekeurig gebruikers-ID @ afzenderdomein waar SPF voor klopt (voor elke spamverzendende zombie PC bestaat wel zo'n domein);
2) Geheel leeg laten (<> dus).
Je hebt minimaal de combinatie van SPF en DMARC nodig op zowel de zendende als de ontvangende MTA, waarbij de zendende MTA FAIL moet eisen bij afwijkingen en de ontvangende MTA dat moet honoreren. Die combinatie bestaat nauwelijks, niet een Gmail houdt zich hieraan.
Zoals ik o.a. in https://www.security.nl/posting/581046/porno+afpersmail+van+jezelf schreef: SPF plus DMARC en/of DKIM en/of DomainKeys zijn een lost race / verspilde moeite als niet iedereen ze keihard inzet - en dat gaat gewoon niet gebeuren door wat collateral damage.
En zelfs als dat allemaal perfect zou werken, heb je er niets aan als MUA's (Mail User Agents = email programma's inclusief webmail):
- Het domein in het afzenderadres niet tonen;
- En als ze dat wel doen, de ontvanger dat niet checkt of niet precies weet hoe die domeinnaam exact moet luiden.
Forget it.
[*] En ja, daar heb ik het NCSC op gewezen kort na het uitkomen van dat document; ze zouden het fixen bij de eerstvolgende versie - die nooit kwam. Waardoor het een waardeloos, sterker: stompzinnig misleidend, document was en is gebleven. Want als 1 onderdeeeltje van SPF+DMARC niet goed staat, is inzet ervan om spoofing te stoppen, geheel zinloos. Te triest voor woorden.
Geheel mee eens, je kunt niet alle spoofing voorkomen met alleen SPF.
Ik heb het ALLEEN over de variant zoals hierboven in het artikel aangegeven. Die kun je wel blokkeren met SPF -all en inbound SPF check.
07-10-2018, 12:06 door
NetGuardian
"Nieuwe mail in omloop" -_-
@redactie: Bron en info checken ipv alles klakkeloos van andere sites overnemen is lastig?!
Ik kreeg dit soort onzin op 11 april al binnen
http://prntscr.com/l35cfv
@redactie: Bron en info checken ipv alles klakkeloos van andere sites overnemen is lastig?!
Ik kreeg dit soort onzin op 11 april al binnen
http://prntscr.com/l35cfv
07-10-2018, 14:05 door
Briolet
En waarom heb je dan alleen het AAN adres doorgehaald en niet het VAN adres? Dat zou nml ook jouw adres moeten zijn.
Het zou wellicht helpen als men eens naar oudere (studio-)cemera's zou kijken. Daar zat een roode lamp op die aangaf of de camera aan het opnemen was.
Nu zitten alle piefjes van je telefoon in de software. En die is per definitie onbetrouwbaar. Een klein rood ledje op of direct aan de CCD chip wat laat zien dat het ding op "opnemen" staat zou niet verkeerd zijn. Een rechtstreekse hardware oplossing werkt altijd beter dan een software oplossing.
Zo stak men vroeger een pen of potlood in de draaischijf van de telefoon omdat dat fysiek de lijk verbrak (zodat het onmogelijk werd via de micro in de hoorn af te luisteren.
Een smartphone met een rijtje tuimelschakelaars is misschien wat onhandig.... ;-) Het is wel nuttig om in de richting van fysiek de stekker eruit trekken, of rechtstreeks verbonden indicators of een sensor actief is na te denken. Want software oplossingen blijken vaak niet doordacht genoeg of zelfs botweg slecht getest. Een setje mini dipswitches waarmee je letterlijk de stekker uit je camera of microfoon kan trekken moet mogelijk zijn. Of een verwisselbaar kaartje dat fysiek de verschillende sensors uit of aan zet. Zodat je simpel kunt instellen wat werkt en dat ook kunt veranderen.
Nu zitten alle piefjes van je telefoon in de software. En die is per definitie onbetrouwbaar. Een klein rood ledje op of direct aan de CCD chip wat laat zien dat het ding op "opnemen" staat zou niet verkeerd zijn. Een rechtstreekse hardware oplossing werkt altijd beter dan een software oplossing.
Zo stak men vroeger een pen of potlood in de draaischijf van de telefoon omdat dat fysiek de lijk verbrak (zodat het onmogelijk werd via de micro in de hoorn af te luisteren.
Een smartphone met een rijtje tuimelschakelaars is misschien wat onhandig.... ;-) Het is wel nuttig om in de richting van fysiek de stekker eruit trekken, of rechtstreeks verbonden indicators of een sensor actief is na te denken. Want software oplossingen blijken vaak niet doordacht genoeg of zelfs botweg slecht getest. Een setje mini dipswitches waarmee je letterlijk de stekker uit je camera of microfoon kan trekken moet mogelijk zijn. Of een verwisselbaar kaartje dat fysiek de verschillende sensors uit of aan zet. Zodat je simpel kunt instellen wat werkt en dat ook kunt veranderen.
Door SecGuru_OTX:
Geheel mee eens, je kunt niet alle spoofing voorkomen met alleen SPF.
Ik heb het ALLEEN over de variant zoals hierboven in het artikel aangegeven. Die kun je wel blokkeren met SPF -all en inbound SPF check.
Door Bitwiper:
Het enige dat kaal SPF kan voorkomen is een deel van de troep in jouw inbox als spammers jouw e-email adres in envelope-from hebben gespoofd. Het probleem zijn dan namelijk mailservers die eerst de mail aannemen (en de verbinding verbreken) om er daarna achter te komen dat de mail niet kan of mag worden afgeleverd (mailbox vol, account bestaat niet, of zelfs stom ingerichte servers met virus- en of spam-checkers die "stuur maar terug" roepen).
Alleen indien jouw afzenderdomein SPF is ingericht met -all (en niet met ~all zoals NCSC nog steeds adviseert in de PDF die je hier kunt downloaden: https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html [*]), en de ontvangende MTA (Mail Transfer Agent = mailserver) dat verzoek honoreert -wat ze ook niet allemaal doen- krijg je in elk geval van die spammails geen NDR's (Non-Deliverable Reports) in jouw inbox.
Maar daar gaat het hier niet om: jij claimt dat SPF spam met gespoofd afzenderadres kan stoppen.
De spammer kan echter simpelweg het envelope-from adres laten afwijken van het (door veel mail clients niet eens getoonde) message-from adres. En heeft dan zelfs twee keuzes om ongemoeid gelaten te worden door SPF, namelijk door dat envelope-from adres (waar SPF op checkt):
1) Te vullen met een willekeurig gebruikers-ID @ afzenderdomein waar SPF voor klopt (voor elke spamverzendende zombie PC bestaat wel zo'n domein);
2) Geheel leeg laten (<> dus).
Je hebt minimaal de combinatie van SPF en DMARC nodig op zowel de zendende als de ontvangende MTA, waarbij de zendende MTA FAIL moet eisen bij afwijkingen en de ontvangende MTA dat moet honoreren. Die combinatie bestaat nauwelijks, niet een Gmail houdt zich hieraan.
Zoals ik o.a. in https://www.security.nl/posting/581046/porno+afpersmail+van+jezelf schreef: SPF plus DMARC en/of DKIM en/of DomainKeys zijn een lost race / verspilde moeite als niet iedereen ze keihard inzet - en dat gaat gewoon niet gebeuren door wat collateral damage.
En zelfs als dat allemaal perfect zou werken, heb je er niets aan als MUA's (Mail User Agents = email programma's inclusief webmail):
- Het domein in het afzenderadres niet tonen;
- En als ze dat wel doen, de ontvanger dat niet checkt of niet precies weet hoe die domeinnaam exact moet luiden.
Forget it.
[*] En ja, daar heb ik het NCSC op gewezen kort na het uitkomen van dat document; ze zouden het fixen bij de eerstvolgende versie - die nooit kwam. Waardoor het een waardeloos, sterker: stompzinnig misleidend, document was en is gebleven. Want als 1 onderdeeeltje van SPF+DMARC niet goed staat, is inzet ervan om spoofing te stoppen, geheel zinloos. Te triest voor woorden.
Door SecGuru_OTX: Een SPF hard fail beleid, met een SPF inbound check, kan dit al voorkomen.
Onzin.Het enige dat kaal SPF kan voorkomen is een deel van de troep in jouw inbox als spammers jouw e-email adres in envelope-from hebben gespoofd. Het probleem zijn dan namelijk mailservers die eerst de mail aannemen (en de verbinding verbreken) om er daarna achter te komen dat de mail niet kan of mag worden afgeleverd (mailbox vol, account bestaat niet, of zelfs stom ingerichte servers met virus- en of spam-checkers die "stuur maar terug" roepen).
Alleen indien jouw afzenderdomein SPF is ingericht met -all (en niet met ~all zoals NCSC nog steeds adviseert in de PDF die je hier kunt downloaden: https://www.ncsc.nl/actueel/factsheets/factsheet-bescherm-domeinnamen-tegen-phishing.html [*]), en de ontvangende MTA (Mail Transfer Agent = mailserver) dat verzoek honoreert -wat ze ook niet allemaal doen- krijg je in elk geval van die spammails geen NDR's (Non-Deliverable Reports) in jouw inbox.
Maar daar gaat het hier niet om: jij claimt dat SPF spam met gespoofd afzenderadres kan stoppen.
De spammer kan echter simpelweg het envelope-from adres laten afwijken van het (door veel mail clients niet eens getoonde) message-from adres. En heeft dan zelfs twee keuzes om ongemoeid gelaten te worden door SPF, namelijk door dat envelope-from adres (waar SPF op checkt):
1) Te vullen met een willekeurig gebruikers-ID @ afzenderdomein waar SPF voor klopt (voor elke spamverzendende zombie PC bestaat wel zo'n domein);
2) Geheel leeg laten (<> dus).
Je hebt minimaal de combinatie van SPF en DMARC nodig op zowel de zendende als de ontvangende MTA, waarbij de zendende MTA FAIL moet eisen bij afwijkingen en de ontvangende MTA dat moet honoreren. Die combinatie bestaat nauwelijks, niet een Gmail houdt zich hieraan.
Zoals ik o.a. in https://www.security.nl/posting/581046/porno+afpersmail+van+jezelf schreef: SPF plus DMARC en/of DKIM en/of DomainKeys zijn een lost race / verspilde moeite als niet iedereen ze keihard inzet - en dat gaat gewoon niet gebeuren door wat collateral damage.
En zelfs als dat allemaal perfect zou werken, heb je er niets aan als MUA's (Mail User Agents = email programma's inclusief webmail):
- Het domein in het afzenderadres niet tonen;
- En als ze dat wel doen, de ontvanger dat niet checkt of niet precies weet hoe die domeinnaam exact moet luiden.
Forget it.
[*] En ja, daar heb ik het NCSC op gewezen kort na het uitkomen van dat document; ze zouden het fixen bij de eerstvolgende versie - die nooit kwam. Waardoor het een waardeloos, sterker: stompzinnig misleidend, document was en is gebleven. Want als 1 onderdeeeltje van SPF+DMARC niet goed staat, is inzet ervan om spoofing te stoppen, geheel zinloos. Te triest voor woorden.
Geheel mee eens, je kunt niet alle spoofing voorkomen met alleen SPF.
Ik heb het ALLEEN over de variant zoals hierboven in het artikel aangegeven. Die kun je wel blokkeren met SPF -all en inbound SPF check.
Gebruik E.F.A. project, een open-source mail-appliance en zet greylisting aan. Iedere pc, laptop, etc., die gehackt is en ingezet wordt om junk mail af te leveren wordt door greylisting tegengehouden. Werk hier al jaren tot volle tevredenheid mee. https://efa-project.org, https://nl.wikipedia.org/wiki/Greylisting
Grappig wel, als het over wraakporno of sexting gaat dan staat het hier vol met "waarom maakt die domme muts dan ook foto's van zichzelf" maar over dit soort mails staat er alleen als tip "camera afplakken" en nergens "niet rukken achter de computer".
Geeft een interessant beeld over de gemiddelde reageerder.
Geeft een interessant beeld over de gemiddelde reageerder.
Door Anoniem: Grappig wel, als het over wraakporno of sexting gaat dan staat het hier vol met "waarom maakt die domme muts dan ook foto's van zichzelf" maar over dit soort mails staat er alleen als tip "camera afplakken" en nergens "niet rukken achter de computer".
Geeft een interessant beeld over de gemiddelde reageerder.
Geeft een interessant beeld over de gemiddelde reageerder.
hahah omdat de er veel rukkers hier zitten achter de computers.
08-10-2018, 03:03 door
Bitwiper
Door Anoniem: Grappig wel, als het over wraakporno of sexting gaat dan staat het hier vol met "waarom maakt die domme muts dan ook foto's van zichzelf" maar over dit soort mails staat er alleen als tip "camera afplakken" en nergens "niet rukken achter de computer".
Vol? Boven jouw reactie gaat het om 2 van de 12, en die 2 zijn maar 1 regel lang.Door Anoniem: Gebruik E.F.A. project, een open-source mail-appliance en zet greylisting aan. Iedere pc, laptop, etc., die gehackt is en ingezet wordt om junk mail af te leveren wordt door greylisting tegengehouden. Werk hier al jaren tot volle tevredenheid mee. https://efa-project.org, https://nl.wikipedia.org/wiki/Greylisting
Het klopt dat je met greylisting spam blokkeert die afkomstig is van zombie PC's waarop de spamzendende software niet stateful is. Maar wat vertel jij aan de gebruiker aan jouw bureau die 10 minuten geleden is gebeld door een nieuw contact die belangrijke informatie voor een business opportunity met spoed "op de mail heeft gezet" - die maar niet binnenkomt omdat jouw mailserver die nog staat te weigeren?
En, gelukkig voor jou, volgen maar weinigen jouw advies (om ook greylisting toe te passen) op, want spammers passen zich elke keer aan zodra een antispamtechniek een structureel probleem voor hen wordt. En in het geval van greylisting is dat nauwelijks een probleem, want naast hun software stateful maken, kunnen zij hun junkmail ook vanaf (originele of gehackte) accounts, of vanaf zombie PC's, via niet-geblackliste (of zelfs gewhiteliste) MTA's aan afzenderzijde laten verzenden. Want die MTA's cachen en proberen het heus later nog wel een keer.
De mensen die deze mails ontvingen hebben sowieso niks aan jouw advies, want zij zijn afhankelijk van hun ISP of van externe mailproviders (zoals Google met Gmail en Microsoft met outlook.com) voor het nemen van dit soort maatregelen. En die zijn niet zo kortzichtig.
Alle tot nu toe bedachte, en soms halfbakken geïmplementeerde maatregelen (SPF, DKIM, DomainKeys, DMARC, greylisting, blacklists maar ook content-based filtering) hebben negatieve bijwerkingen, maar verlagen aanvankelijk meestal wel de aantallen spammails (waaronder phishing en/of spoofing mails) in inboxes aanzienlijk. Dat is fijn tegen de irritatie, maar als er te weinig spammetjes doorheen slippen, is het mijn ervaring dat doorsnee ontvangers alles geloven wat ze lezen.
Net zoals Android en Apple gebruikers, die hun devices met een vingerafdruk unlocken, af en toe worden "gepest" met het moeten invoeren van een wachtwoord, denk ik dat het goed zou zijn als doorsnee mensen af en toe een nepmail ontvangen om hen te trainen in het herkennen daarvan, en de faalbaarheid van het systeem te laten inzien. Streven naar een zo hoog mogelijk percentage geblokkeerde spams kon dus wel eens een slecht idee zijn als je weet dat je 100% nooit zult halen - en bij greylisting weet je dat zeker.
Door Bitwiper:
Maar wat vertel jij aan de gebruiker aan jouw bureau die 10 minuten geleden is gebeld door een nieuw contact die belangrijke informatie voor een business opportunity met spoed "op de mail heeft gezet" - die maar niet binnenkomt omdat jouw mailserver die nog staat te weigeren?
En, gelukkig voor jou, volgen maar weinigen jouw advies (om ook greylisting toe te passen) op, want spammers passen zich elke keer aan zodra een antispamtechniek een structureel probleem voor hen wordt. En in het geval van greylisting is dat nauwelijks een probleem, want naast hun software stateful maken, kunnen zij hun junkmail ook vanaf (originele of gehackte) accounts, of vanaf zombie PC's, via niet-geblackliste (of zelfs gewhiteliste) MTA's aan afzenderzijde laten verzenden. Want die MTA's cachen en proberen het heus later nog wel een keer.
De mensen die deze mails ontvingen hebben sowieso niks aan jouw advies, want zij zijn afhankelijk van hun ISP of van externe mailproviders (zoals Google met Gmail en Microsoft met outlook.com) voor het nemen van dit soort maatregelen. En die zijn niet zo kortzichtig.
Alle tot nu toe bedachte, en soms halfbakken geïmplementeerde maatregelen (SPF, DKIM, DomainKeys, DMARC, greylisting, blacklists maar ook content-based filtering) hebben negatieve bijwerkingen, maar verlagen aanvankelijk meestal wel de aantallen spammails (waaronder phishing en/of spoofing mails) in inboxes aanzienlijk. Dat is fijn tegen de irritatie, maar als er te weinig spammetjes doorheen slippen, is het mijn ervaring dat doorsnee ontvangers alles geloven wat ze lezen.
Net zoals Android en Apple gebruikers, die hun devices met een vingerafdruk unlocken, af en toe worden "gepest" met het moeten invoeren van een wachtwoord, denk ik dat het goed zou zijn als doorsnee mensen af en toe een nepmail ontvangen om hen te trainen in het herkennen daarvan, en de faalbaarheid van het systeem te laten inzien. Streven naar een zo hoog mogelijk percentage geblokkeerde spams kon dus wel eens een slecht idee zijn als je weet dat je 100% nooit zult halen - en bij greylisting weet je dat zeker.
E.F.A. project is niet alleen greylisting maar ook een virusscanner en spamfiltering, white-listing, etc., allemaal zaken die goed van pas komen om het ergste om te beginnen tegen te houden. 100% is nooit mogelijk maar een afname met minimaal 80% is in ieder geval een haalbare score. Maar als ik jouw reactie hierboven lees moeten we maar doorgaan zoals het is omdat je anders niet meer weet wat een spam is. Ransomware kan als URL link in mail binnenkomen en dat kan met E.F.A. als je het goed instelt ook aangegeven worden. Gelukkig zijn er mensen met een andere visie en andere ervaringen dan die zoals je hierboven weergeeft. Gelukkig voor mij als mijn adviezen in overweging worden genomen en ondervonden wordt dat het toch anders kan zijn dan jij als wilt doen geloven.Door Anoniem: Grappig wel, als het over wraakporno of sexting gaat dan staat het hier vol met "waarom maakt die domme muts dan ook foto's van zichzelf" maar over dit soort mails staat er alleen als tip "camera afplakken" en nergens "niet rukken achter de computer".
Vol? Boven jouw reactie gaat het om 2 van de 12, en die 2 zijn maar 1 regel lang.Door Anoniem: Gebruik E.F.A. project, een open-source mail-appliance en zet greylisting aan. Iedere pc, laptop, etc., die gehackt is en ingezet wordt om junk mail af te leveren wordt door greylisting tegengehouden. Werk hier al jaren tot volle tevredenheid mee. https://efa-project.org, https://nl.wikipedia.org/wiki/Greylisting
Het klopt dat je met greylisting spam blokkeert die afkomstig is van zombie PC's waarop de spamzendende software niet stateful is. Maar wat vertel jij aan de gebruiker aan jouw bureau die 10 minuten geleden is gebeld door een nieuw contact die belangrijke informatie voor een business opportunity met spoed "op de mail heeft gezet" - die maar niet binnenkomt omdat jouw mailserver die nog staat te weigeren?
En, gelukkig voor jou, volgen maar weinigen jouw advies (om ook greylisting toe te passen) op, want spammers passen zich elke keer aan zodra een antispamtechniek een structureel probleem voor hen wordt. En in het geval van greylisting is dat nauwelijks een probleem, want naast hun software stateful maken, kunnen zij hun junkmail ook vanaf (originele of gehackte) accounts, of vanaf zombie PC's, via niet-geblackliste (of zelfs gewhiteliste) MTA's aan afzenderzijde laten verzenden. Want die MTA's cachen en proberen het heus later nog wel een keer.
De mensen die deze mails ontvingen hebben sowieso niks aan jouw advies, want zij zijn afhankelijk van hun ISP of van externe mailproviders (zoals Google met Gmail en Microsoft met outlook.com) voor het nemen van dit soort maatregelen. En die zijn niet zo kortzichtig.
Alle tot nu toe bedachte, en soms halfbakken geïmplementeerde maatregelen (SPF, DKIM, DomainKeys, DMARC, greylisting, blacklists maar ook content-based filtering) hebben negatieve bijwerkingen, maar verlagen aanvankelijk meestal wel de aantallen spammails (waaronder phishing en/of spoofing mails) in inboxes aanzienlijk. Dat is fijn tegen de irritatie, maar als er te weinig spammetjes doorheen slippen, is het mijn ervaring dat doorsnee ontvangers alles geloven wat ze lezen.
Net zoals Android en Apple gebruikers, die hun devices met een vingerafdruk unlocken, af en toe worden "gepest" met het moeten invoeren van een wachtwoord, denk ik dat het goed zou zijn als doorsnee mensen af en toe een nepmail ontvangen om hen te trainen in het herkennen daarvan, en de faalbaarheid van het systeem te laten inzien. Streven naar een zo hoog mogelijk percentage geblokkeerde spams kon dus wel eens een slecht idee zijn als je weet dat je 100% nooit zult halen - en bij greylisting weet je dat zeker.
Door Anoniem: Mensen daarom altijd je camera van laptop tapen, want straks is het wel echt gebeurd en dan ben je lul.
Of gewoon niet lopen fappen achter je laptop, viespeuk :P
08-10-2018, 11:17 door
Korund
Goh, ik wist helemaal niet dat ik een camera aan mijn pc had hangen!
Ik ga vanavond gelijk zoeken of ik hem kan vinden.
Ik ga vanavond gelijk zoeken of ik hem kan vinden.
Door Anoniem:
Door Anoniem: Mensen daarom altijd je camera van laptop tapen, want straks is het wel echt gebeurd en dan ben je lul.
Of gewoon niet lopen fappen achter je laptop, viespeuk :PIk dacht dat het internet was uitgevonden hiervoor...
08-10-2018, 19:44 door
Bitwiper
Door Anoniem: Maar als ik jouw reactie hierboven lees moeten we maar doorgaan zoals het is omdat je anders niet meer weet wat een spam is.
Mijn excuses, ik heb niet duidelijk geschreven wat ik bedoelde. Het is niet mijn voorstel om maar wat potentieel gevaarlijke spam door te laten.Ik hoopte duidelijk te maken dat, hoe effectiever je spam blokkeert, hoe belangrijker het is dat je gebruikers scherp houdt. Ofwel met onschuldige echte spam die je doorstuurt, of met zelf geschreven (doch realistische) phishing mails. Die zou ik niet zomaar loslaten, maar gebruikers erop voorbereiden (om frustraties te voorkomen, leg uit dat het niet erg is als ze ergens intrappen, als ze er maar van leren en zo grote schade, privé of bij de werkgever, weten te voorkomen).
Op de punten die ik noemde ga je helaas niet in (het feit dat de aflevering van mail door greylisting soms onverwachte vertraging oploopt, en het feit dat greylisting maar ten dele werkt en door spamsoftware stateful te maken, niet meer helpt).
We hebben m.i. al veel te veel halfwerkende trucjes bedacht die legitieme mail bemoeilijken en waarbij spammers zich suflachen omdat die trucs hen juist in de kaart spelen. Zo heb ik bijv. een flink archief van spams opgebouwd waarin zowel SPF, DKIM, DomainKeys als DMARC perfect kloppen - waardoor veel spamfilters ze het voordeel van de twijfel geven, ondanks de spammy content. We hebben spammers te vaak onderschat en verspillen m.i. te veel tijd aan symptoombestrijding, en slopen daarbij legitieme mail.
Door Bitwiper:
Ik hoopte duidelijk te maken dat, hoe effectiever je spam blokkeert, hoe belangrijker het is dat je gebruikers scherp houdt. Ofwel met onschuldige echte spam die je doorstuurt, of met zelf geschreven (doch realistische) phishing mails. Die zou ik niet zomaar loslaten, maar gebruikers erop voorbereiden (om frustraties te voorkomen, leg uit dat het niet erg is als ze ergens intrappen, als ze er maar van leren en zo grote schade, privé of bij de werkgever, weten te voorkomen).
Op de punten die ik noemde ga je helaas niet in (het feit dat de aflevering van mail door greylisting soms onverwachte vertraging oploopt, en het feit dat greylisting maar ten dele werkt en door spamsoftware stateful te maken, niet meer helpt).
We hebben m.i. al veel te veel halfwerkende trucjes bedacht die legitieme mail bemoeilijken en waarbij spammers zich suflachen omdat die trucs hen juist in de kaart spelen. Zo heb ik bijv. een flink archief van spams opgebouwd waarin zowel SPF, DKIM, DomainKeys als DMARC perfect kloppen - waardoor veel spamfilters ze het voordeel van de twijfel geven, ondanks de spammy content. We hebben spammers te vaak onderschat en verspillen m.i. te veel tijd aan symptoombestrijding, en slopen daarbij legitieme mail.
Door Anoniem: Maar als ik jouw reactie hierboven lees moeten we maar doorgaan zoals het is omdat je anders niet meer weet wat een spam is.
Mijn excuses, ik heb niet duidelijk geschreven wat ik bedoelde. Het is niet mijn voorstel om maar wat potentieel gevaarlijke spam door te laten.Ik hoopte duidelijk te maken dat, hoe effectiever je spam blokkeert, hoe belangrijker het is dat je gebruikers scherp houdt. Ofwel met onschuldige echte spam die je doorstuurt, of met zelf geschreven (doch realistische) phishing mails. Die zou ik niet zomaar loslaten, maar gebruikers erop voorbereiden (om frustraties te voorkomen, leg uit dat het niet erg is als ze ergens intrappen, als ze er maar van leren en zo grote schade, privé of bij de werkgever, weten te voorkomen).
Op de punten die ik noemde ga je helaas niet in (het feit dat de aflevering van mail door greylisting soms onverwachte vertraging oploopt, en het feit dat greylisting maar ten dele werkt en door spamsoftware stateful te maken, niet meer helpt).
We hebben m.i. al veel te veel halfwerkende trucjes bedacht die legitieme mail bemoeilijken en waarbij spammers zich suflachen omdat die trucs hen juist in de kaart spelen. Zo heb ik bijv. een flink archief van spams opgebouwd waarin zowel SPF, DKIM, DomainKeys als DMARC perfect kloppen - waardoor veel spamfilters ze het voordeel van de twijfel geven, ondanks de spammy content. We hebben spammers te vaak onderschat en verspillen m.i. te veel tijd aan symptoombestrijding, en slopen daarbij legitieme mail.
Kom jij dan eens met goede alternatieven? Ik zie je tot nu toe alleen maar alles afkraken. Als iets niet 100% waterdicht is, dan is het geen reden datgene NIET te doen. Ik heb werkelijk nog niets nuttigs van je gezien (m.b.t. deze post)
en uhh, een verzendende MTA eist helemaal niets met DMARC, het beleid is afhankelijk van wat je in je _dmarc.domain record zet.
Door Bitwiper:
Ik hoopte duidelijk te maken dat, hoe effectiever je spam blokkeert, hoe belangrijker het is dat je gebruikers scherp houdt. Ofwel met onschuldige echte spam die je doorstuurt, of met zelf geschreven (doch realistische) phishing mails. Die zou ik niet zomaar loslaten, maar gebruikers erop voorbereiden (om frustraties te voorkomen, leg uit dat het niet erg is als ze ergens intrappen, als ze er maar van leren en zo grote schade, privé of bij de werkgever, weten te voorkomen).
Op de punten die ik noemde ga je helaas niet in (het feit dat de aflevering van mail door greylisting soms onverwachte vertraging oploopt, en het feit dat greylisting maar ten dele werkt en door spamsoftware stateful te maken, niet meer helpt).
We hebben m.i. al veel te veel halfwerkende trucjes bedacht die legitieme mail bemoeilijken en waarbij spammers zich suflachen omdat die trucs hen juist in de kaart spelen. Zo heb ik bijv. een flink archief van spams opgebouwd waarin zowel SPF, DKIM, DomainKeys als DMARC perfect kloppen - waardoor veel spamfilters ze het voordeel van de twijfel geven, ondanks de spammy content. We hebben spammers te vaak onderschat en verspillen m.i. te veel tijd aan symptoombestrijding, en slopen daarbij legitieme mail.
Door Anoniem: Maar als ik jouw reactie hierboven lees moeten we maar doorgaan zoals het is omdat je anders niet meer weet wat een spam is.
Mijn excuses, ik heb niet duidelijk geschreven wat ik bedoelde. Het is niet mijn voorstel om maar wat potentieel gevaarlijke spam door te laten.Ik hoopte duidelijk te maken dat, hoe effectiever je spam blokkeert, hoe belangrijker het is dat je gebruikers scherp houdt. Ofwel met onschuldige echte spam die je doorstuurt, of met zelf geschreven (doch realistische) phishing mails. Die zou ik niet zomaar loslaten, maar gebruikers erop voorbereiden (om frustraties te voorkomen, leg uit dat het niet erg is als ze ergens intrappen, als ze er maar van leren en zo grote schade, privé of bij de werkgever, weten te voorkomen).
Op de punten die ik noemde ga je helaas niet in (het feit dat de aflevering van mail door greylisting soms onverwachte vertraging oploopt, en het feit dat greylisting maar ten dele werkt en door spamsoftware stateful te maken, niet meer helpt).
We hebben m.i. al veel te veel halfwerkende trucjes bedacht die legitieme mail bemoeilijken en waarbij spammers zich suflachen omdat die trucs hen juist in de kaart spelen. Zo heb ik bijv. een flink archief van spams opgebouwd waarin zowel SPF, DKIM, DomainKeys als DMARC perfect kloppen - waardoor veel spamfilters ze het voordeel van de twijfel geven, ondanks de spammy content. We hebben spammers te vaak onderschat en verspillen m.i. te veel tijd aan symptoombestrijding, en slopen daarbij legitieme mail.
Dank voor je uitleg.
Wat betreft greylisting; persoonlijk ben ik van mening gezien de ervaring die ik heb met greylisting dat dit het enige middel is wat werkt. Ja natuurlijk, greylisting werpt een vertraging op bij het ontvangen van mail en zeker als er meerdere mailservers gebruikt worden door de verzendende partij, al die adressen moeten eerst 'geleerd' worden maar na die periode is dat geen obstakel meer en tegenwoordig duurt dat leren van die adressen ook niet al te lang meer.
Ik ben het met je eens dat alles wat tot nu toe verzonnen is om spam tegen te houden niet goed werkt en lastig is omdat het regelmatig voorkomt dat er mail wordt tegengehouden die gewoon afgeleverd had moeten worden, de uitzondering hierop is in mijn optiek greylisting.
Greylisting levert alleen de mail af afkomstig van een echte mailserver, al het andere wat afkomstig is van besmette pc's of wat dan ook komt er niet doorheen. Ik werk nu al meer dan 5 jaar met greylisting en natuurlijk komt er zo nu en dan toch spam binnen omdat een echte mailserver gehackt blijkt te zijn maar het is opvallend hoe weinig het spamfilter nog in actie hoeft te komen omdat greylisting het nodige al heeft tegengehouden.
Ik heb een aantal weken geleden de test genomen om een tijdje zonder greylisting te werken en ik heb het geweten, de afpersingsmail en bankmail kwamen gewoon weer aan de lopende band binnen en bleek het spamfilter echt noodzakelijk. Ik persoonlijk ben van mening dat greylisting het enige is wat goed werkt, feit blijft natuurlijk wel dat je ook dan alert moet blijven op mail die onnodig tegengehouden zou kunnen worden maar eerlijk gezegd heb ik dat nog niet meegemaakt.
Door Anoniem: Kom jij dan eens met goede alternatieven? Ik zie je tot nu toe alleen maar alles afkraken. Als iets niet 100% waterdicht is, dan is het geen reden datgene NIET te doen. Ik heb werkelijk nog niets nuttigs van je gezien (m.b.t. deze post)
Genoemd heb ik dat we problemen meer bij de bron moeten aanpakken. Ik heb een XS4All account met bewust uitgezet spamfilter. De overgrote meerderheid van spam die ik ontvang komt van zombie-PC's die allang op blacklists staan en waar niemand wat aan doet, maar er komen ook weer elke dag nieuwe slachtoffers bij. Diezelfde zombies kunnen o.a. ook voor DDoS attacks worden misbruikt. Het is m.i. dringend noodzakeljik dat de kans op, en doorlooptijd van, gecompromitteerde PC's flink omlaag gaat om het cybercriminelen moelijker te maken, en het internet als geheel betrouwbaarder te maken.Daarnaast is het, denk ik, onvermijdelijk dat we eindelijk eens een betrouwbaar digitaal authenticatiesysteem (zowel voor personen, organisaties als websites) ontwikkelen en e-mail digitaal gaan signeren (en daarnaast, waar gewenst, versleutelen). Waarbij de betrouwbaarheid van de authenticiteit inzichtelijk is voor gebruikers. En nee, PGP/GnuPG en certificaten in de huidige staat vormen hier -m.i.- geen goede basis voor. Ik heb vergaande ideeën voor alternatieven, maar ben vooral techneut (en zakelijk een slechte amateur). En van ideeën gratis weggeven krijg ik geen brood op de plank.
Echter, ook met betrouwbare digitale handtekeningen moet er veel meer aan zombie-PC's en andere gecompromitteerde accounts worden gedaan, want anders zullen spammers de eigenaren van die PC's en/of accounts (onzichtbaar) hun spam laten signeren. En dus namens die slachtoffers spam/phishing mails verzenden - al dan niet naar vrienden en familie van die zielepieten. Een voordeel bij dit nadeel is wel dat je goed ziet waar de pijn zit (i.p.v. afzender-IP-adressen in deels vervalste headers moeten opzoeken).
Aanvulling 12:58: om 12:44 gepost en om 12:51 al antwoord ;-)
https://www.security.nl/posting/581594/Overheid+start+publiekscampagne+om+computers+op+te+schonen
https://www.security.nl/posting/581594/Overheid+start+publiekscampagne+om+computers+op+te+schonen
Overigens reageerde ik aanvankelijk zo fel omdat SPF ooit ontwikkeld is om Joe-jobs te bestrijden, en er nu nog steeds malloten zijn die roepen dat je er spam en phishing mee bestrijdt. Dat deed het niet, dat doet het niet en zal het nooit doen. Vanaf mijn XS4all account kan ik mij bijv. eenvoudig voordoen als elke andere XS4all gebruiker - SPF, DMARC et al gaan daar niets aan verhelpen - daar heb je een persoonlijke digitale handtekening voor nodig.
Door Anoniem: en uhh, een verzendende MTA eist helemaal niets met DMARC, het beleid is afhankelijk van wat je in je _dmarc.domain record zet.
Klopt. Maar als je niet de guts hebt om server authenticatie af te dwingen in je policies (waaronder SPF), blijft het dweilen met de kraan open.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
