Privacy - Wat niemand over je mag weten

Spammers op dood spoor

06-03-2021, 08:09 door Anoniem, 13 reacties
Sinds de laatste breuk bij Social Media platform GAB (een alternatief voor twitter), ben ik toch niet in de beroemde lijsten van Have I been Pwned terecht gekomen. Als er al iets gelekt is, dan hebben spammers en andersoortige figuren er niets aan. De reden? Ik gebruikte een wegwerp-emailadres om mij aan te melden.

https://tijdelijke-email.nl

Het is tegenwoordig eenvoudig om zulke sites te vinden. Je gebruikt dus het wegewerp-emailadres alleen om de activatielink te ontvangen, en je logt in bij de site met het wegwerp-adres en een sterk wachtwoord (dat je niet meer hergebruikt!). Wordt de zaak gehackt, dan staan de hackers letterlijk met lege handen.

Grootste voordeel: je ontvangt nooit meer spam op je echte e-mailadres.
Reacties (13)
06-03-2021, 22:34 door Anoniem
Apple doet dit ook, met iCloud. Dan is het wel een stuk minder tijdelijk, maar gewoon tot het moment dat je het wilt loozen.
06-03-2021, 23:44 door Anoniem
Bedankt voor deze heads-up. Goeie tip, sierend door de eenvoud en effectiviteit.
Fijn dat je dit wilde delen.

luntrus
07-03-2021, 01:15 door Anoniem
Wanneer je via een dergelijke mail service een account bij een 3de partij activeert, dan kan een aanvaller dezelfde mail service gebruiken om een wachtwoord-herstel-operatie uit te voeren. (Als de aanvaller weet bij welke 3de partij je een account hebt).
07-03-2021, 09:24 door tomm - Bijgewerkt: 07-03-2021, 09:26
Grootste nadeel; De hacker (en eigenlijk iedereen) kan een wachtwoord reset aanvragen en dan via dergelijke diensten zelf op de her-activatie link klikken en een nieuw wachtwoord instellen. Dan is je account overgenomen. Wel iets om rekening mee te houden indien je het wilt gebruiken voor wat belangrijkere accounts. Edit; eigenlijk dus hetzelfde verhaal wat anoniem op 01:15 hierboven al zegt.
07-03-2021, 10:37 door Anoniem
Door Anoniem: Grootste voordeel: je ontvangt nooit meer spam op je echte e-mailadres.

Mijn provider gebruikt SpamAssassin op de mailserver. Ik gebruik zelf Thunderbird ook met een ingebouwd spamfilter. Het gevolg: ik zie zelden of nooit spam. Die spam die ik nog wel zie, wordt doorgestuurd naar de FraudeHelpdesk.NL

De risico's van het aanmalen van een "tijdelijk" emailadres zijn in andere reacties al genoemd, dus ik val niet in herhaling.
07-03-2021, 10:46 door Anoniem
Inderdaad, het is een goed idee om met tijdelijke/unieke mail adressen te werken, maar niet slim om dat op die manier bij een externe dienst te doen!
Gebruik een eigen domain of een service waar je gemakkelijk extra mail adressen aan je mailbox kunt koppelen (en weer afkoppelen).
07-03-2021, 13:23 door Anoniem
Door Anoniem: Sinds de laatste breuk bij Social Media platform GAB (een alternatief voor twitter), ben ik toch niet in de beroemde lijsten van Have I been Pwned terecht gekomen. Als er al iets gelekt is, dan hebben spammers en andersoortige figuren er niets aan. De reden? Ik gebruikte een wegwerp-emailadres om mij aan te melden.

https://tijdelijke-email.nl

Het is tegenwoordig eenvoudig om zulke sites te vinden. Je gebruikt dus het wegewerp-emailadres alleen om de activatielink te ontvangen, en je logt in bij de site met het wegwerp-adres en een sterk wachtwoord (dat je niet meer hergebruikt!). Wordt de zaak gehackt, dan staan de hackers letterlijk met lege handen.

Grootste voordeel: je ontvangt nooit meer spam op je echte e-mailadres.
werkt je wachtwoord niet meer, of vergeet je hem, ben komt je er ook niet meer in.

Echt een geweldig idee... NOT....
07-03-2021, 14:27 door Erik van Straten
Mijn advies: NIET GEBRUIKEN.

Of het een bug is of opzet weet ik niet, maar als je in https://tijdelijke-email.nl/ op "Ga naar jouw inbox" klikt, krijg je in een deel van de gevallen mails te zien die niet voor jou bestemd zijn (zo te zien steeds van bijna 3 dagen geleden). Daaruit kun je vaak eenvoudig achterhalen (o.a. op basis van reclame-mails) waar de betreffende persoon een account heeft en een wachtwoord-reset uitvoeren (anderen hierboven waarschuwden ook al voor dat risico, maar zo gaat dat wel heel eenvoudig en hoef je niet eens accountnamen te proberen met IDOR naar https://tijdelijke-email.nl/inbox/#/vulmaarin).

Voorbeeld
Vanochtend kwam ik vanzelf in een account [redacted]@tijdelijke-email.nl waarin 2 e-mails zichtbaar waren: de eerste van acties.nl en de tweede van kwantum.nl. Die tweede mail begon met (middels "[redacted" heb ik zowel de kennelijke achternaam van deze mevrouw als haar account bij tijdelijke-email onherkenbaar gemaakt):
Maak je klaar voor het voorjaar!
Kwantum <nieuwsbrief@e.kwantum.nl>
2021-03-04 19:45:14
Aan: Marijke [redacted] <[redacted]@tijdelijke-email.nl>

Kwantum

Bekijk de webversie:
[...]
De vermoedelijk echte achternaam van deze (waarschijnlijk) mevrouw weet ik nu. Bovendien kan ik met deze info op kwantum.nl een wachtwoordreset uitvoeren, wat er hoogstwaarschijnlijk toe leidt dat op dit tijdelijke-email account een link binnenkomt waarmee ik haar account kan overnemen. Als een kwaadwillende dat doet sluit ik niet uit dat deze het afleveradres in de kwantum-gebruikersinstellingen van die mevrouw kan wijzigen en wellicht op haar naam bestellingen kan doen waar zij de rekening voor krijgt.

Waarschuwen of niet?
Ik heb overwogen om te proberen haar kwantum-account over te nemen in de hoop dat ik daarmee contactgegevens van die mevrouw zou kunnen vinden - om haar daarmee te waarschuwen. Dat heb ik niet gedaan omdat:
- Ik daar feitelijk identiteitsfraude mee zou plegen;
- Ik niet zeker weet of ik dan voldoende gegevens heb om die mevrouw te waarschuwen;
- Als er aanvullende contactgegevens zijn ingevuld (adres en/of telefoonnummer) ik niet zeker weet of die niet nep zijn;
- Ik zo wel aan de gang kan blijven met mensen waarschuwen (terwijl, notabene op security.nl, meerdere mensen aangeven zo'n systeem een goed idee te vinden en ik zo water naar de zee draag).

Een voordeel en nadeel is dat ik die mails kon verwijderen. Dat is een voordeel omdat daarmee deze mevrouw mogelijk leed wordt bespaard. Wat ik niet weet is of iemand anders haar kwantum.nl account al heeft overgenomen en de bijbehorende wachtwoord-reset mail daarna heeft weggegooid, en eerdere mails heeft laten staan.

Sowieso fout van deze site is dat iedereen, zonder inloggen, in mailboxen van anderen kan kijken. Ik zie geen privacy-policy en weet niet of degenen die hierachter zitten, te goeder trouw zijn (en wat hun verdienmodel is). In elk geval kunnen zij natuurlijk eenvoudig accounts kapen als zij dat zouden willen.

Zelf doorgevoerde test
Als test heb ik vanochtend een account "clavicula" aangemaakt op security.nl, met casfaof als accountnaam bij tijdelijke-email.nl. Dat ging probleemloos. De activeringsmail in https://tijdelijke-email.nl/inbox/#/casfaof heb ik verwijderd. Daarna heb ik besloten om een wachtwoord-reset te testen: de bijbehorende mail heb ik laten staan in bovengenoemde "inbox" (en is momenteel nog te zien in https://tijdelijke-email.nl/inbox/#/casfaof). Vriendelijk verzoek om deze niet te verwijderen zodat anderen deze ook kunnen zien!

Mocht die mail toch worden verwijderd: in https://imgur.com/a/f4X3VTR vind je een screenshot.

Conclusie
Realiseer je dat je zelf geen wachtwoord-reset meer kunt doorvoeren als zo'n partij ophoudt te bestaan (of jouw "inbox" heeft opgedoekt, of deze later, -nu wel password protected- aan een ander heeft toebedeeld. Ik zou zo'n dienst hooguit gebruiken als ik er een account kon aanmaken, de eigenaren zou vertrouwen en ervan uit kan gaan dat zo'n dienst voorlopig blijft bestaan. Als iets gratis is, moet er wel ergens een addertje onder het gras zitten. Ongewenste mail is vervelend, maar identiteitsfraude met jouw accounts kon wel eens veel lastiger zijn om mee te dealen.
07-03-2021, 14:44 door Anoniem
Of het een bug is of opzet weet ik niet, maar als je in https://tijdelijke-email.nl/ op "Ga naar jouw inbox" klikt, krijg je in een deel van de gevallen mails te zien die niet voor jou bestemd zijn (zo te zien steeds van bijna 3 dagen geleden).
Opmerkelijk:
Hoelang blijven e-mails bewaard?

Mails die je ontvangt kun je zelf weer verwijderen. Als je de berichten in je tijdelijke mailbox niet verwijdert, dan worden ze automatisch verwijderd na 3 dagen.
Ook 3 dagen dus.
Kan het wat met elkaar te maken hebben?
07-03-2021, 14:54 door Anoniem
Gebruik nooit een externe dienst voor dit soort zaken zeker niet eentje die gratis is. Veiligheid van de dienst is niet te controleren en als je je aanmeldt met een uniek adres en iemand kaapt deze ben je alsnog de pineut zoals eerder aangegeven.

Het is beter naar onze ervaring om gebruik te maken van plus adressing ook wel sub adressing genoemd.

Mocht je spam krijgen en je ziet dat het van bijvoorbeeld mailadres+pietje.tld@provider.tld komt dan weet je dat pietje.tld een lek heeft gehad bij hun zelf of bij een leverancier via hun. Hoe dan ook je hebt een aanspreekpunt en bewijs van het lek. Met wat simpele mailfilter rules kun je ook een alert generen zodra zo iets gebeurt om het vervolgens met een tweede regel automatisch te laten blokkeren.

Spamassasin is in de meeste gevallen afdoende al is het een rot klus om de Bayesian classifier handmatig te trainen. Wijzelf preferen mailscanner integratie daarvoor. Ook met name voor het scannen van bijlages op gevaarlijke content waar spamassasin zeer beperkt in is.

Spamfilter op applicatie niveau is iets wat wij nooit adviseren. Als het al zover is gekomen is het vele malen beter om je server filter erop te trainen. Beetje het zelfde als dat het gebruik van twee losse mallwarescanners niet aan te raden is omdat ze vaak elkaar in de weg gaan zitten.
07-03-2021, 15:17 door Anoniem
Door Erik van Straten:

Waarschuwen of niet?
Ik heb overwogen om te proberen haar kwantum-account over te nemen in de hoop dat ik daarmee contactgegevens van die mevrouw zou kunnen vinden - om haar daarmee te waarschuwen. Dat heb ik niet gedaan omdat:
- Ik daar feitelijk identiteitsfraude mee zou plegen;

Dat niet alleen. Dan zou je je ook nog schuldig hebben gemaakt aan valsheid in geschrifte en computervredebreuk. Voor de rechtbank in Nederland zit je met een veroordeling dan al snel op een boete van € 21.750,= (4de categorie, tarief 2019) of vier jaar celstraf en het bij de politie moeten inleveren van je DNA-profiel.

https://nl.wikipedia.org/wiki/Computervredebreuk
07-03-2021, 15:40 door Anoniem
Door Anoniem: Het is tegenwoordig eenvoudig om zulke sites te vinden. Je gebruikt dus het wegewerp-emailadres alleen om de activatielink te ontvangen, en je logt in bij de site met het wegwerp-adres en een sterk wachtwoord (dat je niet meer hergebruikt!). Wordt de zaak gehackt, dan staan de hackers letterlijk met lege handen.
Voor ik het antwoord van Erik van Straten had gezien had ik je link naar die site gevolgd en gekeken naar een paar toch wel heel makkelijke zaken om even aandacht aan te besteden: wie zit er achter die site en waarom bieden ze het gratis aan? Wie ze zijn zeggen ze er zo te zien niet bij, en waarom het gratis is zie ik ook niet in de FAQ of ergens anders terug.

Erik geeft een uitstekende reden om die site niet te vertrouwen, maar wat maakte eigenlijk, met zo weinig informatie over waar je mee te maken hebt, dat jij die site besloot wel te vertrouwen? Ziet hij er fris en overzichtelijk uit en wekte dat je vertrouwen? Gaf iemand de je kent je enthousiast een tip? Ken je de makers ervan? Ben je de maker ervan?
07-03-2021, 19:24 door Anoniem
Deze sites worden opgezet door criminelen om informatie te krijgen en te doxen (targets... is een corrupt spelletje).

Bovendien kan men wachtwoorden resetten en met jouw tijdelijke email inloggen op webshops om te zien wat jij besteld hebt.

Die informatie wordt manueel geharvest door een stel volwassenen kinderen en voor een paar euro aan Rusland/CIA enz verkocht.


Zz!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.