Computerbeveiliging - Hoe je bad guys buiten de deur houdt

bunq phishing

20-03-2024, 14:10 door Erik van Straten, 48 reacties
Laatst bijgewerkt: 20-03-2024, 14:42
Vanochtend ontving ik een e-mail met de volgende inhoud:
Vermijd permanente blokkering van uw rekening.

Om te voorkomen dat uw account wordt geblokkeerd, moeten we nog enkele belangrijke gegevens van u verkrijgen. Deze gegevens zijn cruciaal om uw account soepel te blijven gebruiken. Tot nu toe hebben we deze gegevens nog niet ontvangen. Daarom willen we u op tijd op de hoogte brengen van de noodzakelijke stappen die moeten worden genomen.

Verifieer uw contactgegevens. [1]

Wanneer de aangegeven periode verstrijkt, kan uw toegang als een preventieve maatregel worden onderbroken om ongeoorloofde toegang te voorkomen of te beperken. We danken u voor uw medewerking en begrip in deze kwestie.

Bunq

Nb. Om te voorkómen dat lezers onbedoeld op kwaadaardige links hieronder klikken (en overijverige browsers "preloaden") heb ik, on de kwaadaardige URL's, "https" vervangen door "hxxps" en bovendien blokhaken ( '[' en ']' ) om de punt gezet. Met "VT" bedoel ik VirusTotal.com.

De link in de e-mail luidt
[1] hxxps://themetrobakers[.]com

Als ik die site open wordt mijn browser doorgestuurd naar:
[2] hxxps://werk-bij-bu-nq-nl[.]com/

Analyse van [1]
De server achter [1] checkt vermoedelijk op de locatie van mijn IP-adres, want https://www.virustotal.com/gui/url/050355e27fc82c2750d4c57c9f0460f1054f0e374cbe6868c23f581baff5f1d5/details vermeldt dat hun scanner werd doorgestuurd naar https://www.google.com/ (waardoor link [1] niet als kwaadaardig wordt aangemerkt).

Dat geldt ook voor https://reportphish.ai/scan-results/?id=834ba372145fe2aa3af2eff7f020ade0: "The scanned url is safe".

(Volgens https://isc.sans.edu/tools/dnslookup.html resolved de domeinnaam in [1] wereldwijd in 23[.]106[.]66[.]209, een IP-adres van "Leaseweb Asia Pacific pte. ltd." (AS 59253); meer info in https://www.virustotal.com/gui/ip-address/23.106.66.209/details. In het VT tabblad "Relations" zie je met wie Leaseweb nog meer zaken doet, waaronder -direct onder- elkaar:
  webmail[.]nepalsextoys[.]com
  nepalsextoys[.]com[.]gamingzilla[.]net

Fantasie hebben ze in elk geval).

Uit https://crt.sh/?q=themetrobakers.com zou je kunnen opmaken dat de domeinnaam uit [1] op 2024-03-18 is overgenomen van een domeinnaam-witwas-parkeerder (gezien eerdere, bezopen, domeinnamen zoals www[.]advancedfiresolutions[.]co[.]in[.]themetrobakers[.]com).

Googlen naar site:themetrobakers.com laat zien dat Google pagina's met willkeurige onzinteksten van [1] gecached heeft, waarschijnlijk om die server zo onschuldig mogelijk te laten lijken. Ik heb een paar van die links geprobeerd en allen geven nu een 404 - dat zou kunnen bevestigen dat het nu om een andere (of opnieuw ingerichte) server gaat.

Analyse van [2]
Link [2] wordt (nog) niet geblokkeerd door Google Safe Browsing, maar in https://www.virustotal.com/gui/url/446728c5ec9fad1a5f2b95e5c0df87dc79628c16db706bbef80a507e6697cc78 zie ik:
12/93 security vendors flagged this URL as malicious
[...]
Security vendor Analysis
alphaMountain.ai Phishing
Avira Phishing
BitDefender Phishing
CRDF Malicious
CyRadar Malicious
G-Data Phishing
Lionic Phishing
Seclookup Malicious
Sophos Malware
Trustwave Phishing
VIPRE Phishing
Webroot Malicious
Fortinet Spam
[rest] Clean
[...]

Ook https://reportphish.ai/scan-results/?id=03d68066c5c4ac2b388f0636163c95cb meldt m.b.t. [2]: "The scanned url is a phishing url".

In https://www.virustotal.com/gui/ip-address/91.215.85.79/relations zie ik nog meer kwaadaardige domeinnamen, waaronder:
barclaysbusinesshelpchat[.]com
nav-melding0[.]com
nl-regelen-bu-nq[.]com
trust-wallet-service[.]com
mcafeesecurityhub[.]com
verifieren-ups[.]com
onlineportaal[.]com
applepay-verify[.]com
melding9002192[.]com
melding000120[.]com
postbank[.]tanverfahren[.]com
nl-ident-b-unq[.]com
verify-disneyplus[.]com
support-payments-netflix[.]com
regelen-bit-vavo-nl-nl[.]com
nl-bijwerken-bit-vavo[.]com
[...]
De sites achter bovenstaande domeinnamen zijn allemaal nog deze maand gescand door VT (de meesten worden door 1 of meer scanners als kwaadaardig aangemerkt), en zo te zien (steekproef) heeft elk van hen een geldig Let's Encrypt certificaat.

Conclusies / tips
1) Let op de domeinnaam van de uiteindelijke site die iets van je wil! Streepjes (minnetjes) daarin zijn bijna altijd verdacht.

2) Ken het verschil tussen een streepje en een minnetje in een domeinnaam:
accounts.google.com ("accounts" is hier een subdomeinnaam van "google.com");

accounts-google.com en
accountsgoogle.com : deze laatste twee domeinnamen hebben hoogstwaarschijnlijk niets te maken met "google.com".

3) Met online tools kun je (zonder accounts) veel info verzamelen.

4) Als je in:
https://www.virustotal.com/gui/home/search
een domeinnaam invoert, vind je soms andere (interessante) resultaten dan dat je een URL invoert in
https://www.virustotal.com/gui/home/url.
Alleen via die laatste pagina kun je een "rescan" laten uitvoeren (als de domeinnaam al bekend was bij VT).
Check zeker ook de verschillende tabbladen in VT.

5) Zowel Googlen als DuckDuckGo'en naar site:domeinnaam levert vaak onderling flink verschillende maar meestal interessante info op.

6) Ook https://crt.sh kan waardevolle info opleveren.

7) Vertrouw niet blind op "check sites" die claimen dat een domeinnaam of URL safe is. Juist als dat niet zo is doen de meeste cybercriminelen er alles aan om te voorkómen dat hun server als kwaadaardig wordt aangemerkt door dat soort scan-sites. Dus:
Not safe betekent meestal foute boel;
Safe betekent altijd We hebben geen idee.
Reacties (48)
20-03-2024, 15:22 door Erik van Straten
Correctie: achter punt 2) staat:
2) Ken het verschil tussen een streepje en een minnetje in een domeinnaam:

Dat had moeten zijn:
2) Ken het verschil tussen een streepje (minnetje) en een punt in een domeinnaam:

Mijn excuses voor eventuele verwarring!
20-03-2024, 15:23 door Anoniem
Deze e-mail hebben wij 2 weken geleden ook ontvangen, niet gestopt door spamfilter ondanks dat echte redirect naar direct IP verwees. Sowieso blijven opletten en bedankt weer voor jouw bijdrage Eric
20-03-2024, 22:24 door Anoniem
Ook hier komt hij binnen, wordt hij afgevangen met spamassin en procmail. In mutt is het wat lastig klikken op de links en in console zal de phissing site het niet zo goed doen, ben ik bang.
21-03-2024, 13:27 door Erik van Straten - Bijgewerkt: 21-03-2024, 14:04
Uit https://www.security.nl/posting/834667/De+Nederlandsche+Bank+geeft+waarschuwing+voor+bankhelpdeskfraude:
De Nederlandsche Bank (DNB) heeft vandaag een waarschuwing [3] gegeven voor online oplichters [...]

[3] https://www.dnb.nl/algemeen-nieuws/nieuwsberichten-2024/waarschuwing-oplichters-doen-alsof-ze-u-benaderen-namens-dnb/ - daaruit:
[...]
Tips om verdachte berichten te herkennen
——
Lees hier [4] handige tips om verdachte mails, sms’jes of telefoontjes te herkennen.

[4] https://www.dnb.nl/betrouwbare-financiele-sector/tips-om-nepsites-en-phishing-mails-te-herkennen/ - daaruit:
[...]
Nepsites herkennen
——
Twijfelt u of een website wel echt is? Controleer dan eerst of het webadres (de URL) van de bank klopt. Hoe doet u dat?

• Kijk of het webadres van een bank volledig is. Dat adres begint altijd met “https://”. Ontbreekt de letter “s”? Ziet u geen hangslot in de adresbalk? Dan is het een valse site.
Hallo DNB!?

Dus als de link WÉL met https:// begint, is het GÉÉN valse site?

Hoe zie je "[...] of het webadres van een bank volledig is"? Wat is "volledig" en hoe ziet "onvolledig" er uit?

Sowieso gebruiken de meeste mensen een mobiele browser, en geen van die browsers laat "https://" (of "http://") überhaupt nog zien. En de meest gebruikte browser (Chrome), laat ook geen hangslotje meer zien!

Er volgt een plaatje met links groen en rechts rood (fijn (not) als je kleurenblind bent):
Groen: [hangslotje] https://www.
Rood: /!\ http://www.
Hallo DNB?! In welke browser zie je dat nog?

DNB gaat verder met:
• Kijk of de naam van uw bank in het webadres juist is.
Dus als de [2] had geluid:
  hxxps://werk-bij-bunq-nl[.]com/
was het wel goed geweest?

• Twijfelt u? Ga dan nergens op in, sluit de site af en neem contact op met uw bank. Gebruik niet de contactgegevens van de site, want op nepsites staan onjuiste gegevens.
Dit derde punt klopt (als de lezer zover gekomen is, na de eerdere onzin - waarom zou dit wel kloppen).

• Op checkjelinkje.nl [5] kunt u controleren of webadressen echt van de bank zijn.

[5] https://www.checkjelinkje.nl/check/?u=https://themetrobakers.com:
Dit hebben we gevonden

Als je de link volgt, kom je waarschijnlijk hier terecht:
https://www.google.com/

• Bekende naam
Je gaat naar een officiële website van Google

• Het domeinnaam is geregistreerd bij een gerenommeerde registrar. (?)

• Dit is een gevestigde domeinnaam. (?)

• De link gebruikt SSL. (?)

Ook [5]: https://www.checkjelinkje.nl/check/?u=https://werk-bij-bu-nq-nl.com/
Dit hebben we gevonden

Als je de link volgt, kom je waarschijnlijk hier terecht:
https://www.google.com/

• Bekende naam
Je gaat naar een officiële website van Google

• Het domeinnaam is geregistreerd bij een gerenommeerde registrar. (?)

• Dit is een gevestigde domeinnaam. (?)

• De link gebruikt SSL. (?)

Klikken op die phishing-link is dus veilig? Maar dat zullen de meesten niet doen (want zij kunnen ook zelf naar Google als zij dat willen). Nee, de meeste mensen zullen denken:

checkjelinkje.nl is buggy, waardeloos dus, daar ga ik NOOIT meer linkjes checken.

Trouwens, je kunt onderaan klikken op "Ik denk dat dit phishing is". Dan verschijnt een pop-up:
Rapporteren dat dit phishing is
Denk je dat dit phishing is? Je kunt het bij ons melden zodat we je mede- internetgebruikers er voor kunnen waarschuwen.

De link die je wil melden
https://www.google.com/
Als je helderziend bent en weet dat je op laatstgenoemde link kunt klikken (het wordt altijd afgeraden om op links te klikken die je niet vertrouwt of die "raar" zijn inclusief onverwacht) dan blijk je te kunnen kiezen, in dit geval ook voor [2].

Maar ik heb daar nu geen zin meer in (wat een ongelofelijke idioten maken dit soort sites).

Ook https://www.politie.nl/informatie/preventietips-phishing.html verwijst naar [5], goed geregeld allemaal. Maar als mensen bestolen worden zegt Kifid dat het hun eigen schuld is en niet dat van dit briljant veilige (not) "online" systeem.

Google Safe Browsing blokkeert overigens nog steeds geen van beide URLs ([1] en [2]).

En, via drie verschillende Nederlandse IP-adressen kom ik door [1] te openen nog steeds uit op [2], zonder foutmeldingen of waarschuwingen (meer dan 24 uur nadat ik bunq.com gemailed heb hierover).

En dit zowel via mij vaste (Xs4all = KPN) aansluiting, als via KPN 4G/5G als via Odido 4G/5G.

En zo te zien ongeacht de gebruikte browser.

Beste klant van Bunq (of elke willekeurige andere bank):

  En toch is het geheel UW schuld als u hier intrapt!
 

Edit 14:04: er is eindelijk iemand wakker geworden bij checkjelinkje, op [5] met [2] zie ik nu dat het om een phishingsite gaat, en ook [5] met [1] zegt nu dat je doorgestuurd zou worden naar [2]. Overigens zegt het niets als een domeinnaam niet recentelijk is geregistreerd, gezien de kennelijk lucratieve handel in witgewassen -eerder kwaadaardige- (maar ook eerder goedaardige, zoals tvspot[.]nl) domeinnamen.
21-03-2024, 15:26 door Anoniem
Even vraagje Erik kreeg je dit binnen via je eigen MTA of op een externe dienst die je afneemt particulier, zakelijk?
Want de mail header analyse in dit geval is stukken interessanter als deze werkelijk door is gekomen bij de filtering.
IP en domeinnaam is nu eenmaal slechte filtering methode heb je een score afweging kunnen aantreffen?

We zien dit soort aanvallen als managed mail provider wekelijks terugkeren in onze reports met bunq als target. Vorige week was het via snelnet[.]net en AS44486 en week daarvoor via planet[.]nl en AS30823
Hier een voorbeeldje uit de laatste 1000 mislukte pogingen in de afgelopen tien dagen.

Rule Score Rule Description
BAYES_50 0.80 Bayes spam probability is 40 to 60%
DCC_CHECK 1.10 Detected as bulk mail by DCC (dcc-servers.net)
FSL_BULK_SIG 0.08 Bulk signature with no Unsubscribe
HTML_FONT_LOW_CONTRAST 0.00 HTML font color similar or identical to background
HTML_FONT_SIZE_LARGE 0.00 HTML font size is large
HTML_MESSAGE 0.00 HTML included in message
KAM_DMARC_NONE 0.25
KAM_DMARC_STATUS 0.01
MIME_HTML_ONLY 0.10 Message only has text/html MIME parts
NORDNS_LOW_CONTRAST 1.29 No rDNS + hidden text
NORMAL_HTTP_TO_IP 0.00 URI host has a public dotted-decimal IPv4 address
NUMERIC_HTTP_ADDR 1.24 Uses a numeric IP address in URL
RAZOR2_CF_RANGE_51_100 1.89 Razor2 gives confidence level above 50%
RAZOR2_CHECK 0.92 Listed in Razor2 (http://razor.sf.net/)
RDNS_NONE 2.00 Delivered to internal network by a host with no rDNS
TO_NO_BRKTS_NORDNS_HTML 1.21 To: lacks brackets and no rDNS and HTML only
T_REMOTE_IMAGE 0.01
T_SCC_BODY_TEXT_LINE -0.01
SpamAssassin Score 10.89

Zover wij zien gaat echt verkeer van bunq omtrent authenticering via mandrillapp[.]com AS14782 en eu-central-1.compute.amazonaws[.]com AS16509 voor de benelux.

We sturen om de zoveel tijd reports naar bunq zoals we met alle vertrouwde bedrijven doen waar we van weten dat onze klanten gebruik van maken maar het is en blijft een kat en muis spelletje. Eerlijk te zijn is dit niet hele geavanceerde phising zolang je een competent filter, beveiliging draait dus ik ben beetje verbaasd dat dit bij sommige hun SA toch doorkomt. Mischien tijd om de Bayesian classifier opnieuw te trainen voor die beheerders.
Tenzij de laatste campagne nu wel ineens competent is geworden met de setup. Maar tot op heden heb ik nog nooit eentje meegemaakt die door de filters hier is heen gekomen.

We hebben even een report gestuurd naar abuseipdb en Cisco Talos onder het mom van alle beetjes helpen.
Dat zijn diensten waar ik persoonlijk meer op vertrouw als aanbieder van maildiensten.

Verder heb ik nog nooit iemand in de industrie meegemaakt die checkjelinkje heeft benoemt als iets serieus om mee te wegen in enig advies. Beetje zelfde dead horse als de politie die enkele jaren terug een service als haveibeenpwned namaakte om te realiseren na enige consultancy van dit is nutteloos de tool bestaat al waarom hebben we dit gemaakt. Nu verwijzen ze gelukkig weer door naar Troy Hunt zijn site.

Wie weet zien ze ook het licht ooit omtrent checkjelinkje uit de adviezen te halen.
21-03-2024, 15:28 door Anoniem
Waarom niet gecheckt via Safeonweb, die checkt de website eigenaar, het certificaat type en de certificeringsautoriteit?
21-03-2024, 17:39 door Erik van Straten - Bijgewerkt: 21-03-2024, 18:18
Door Anoniem: Even vraagje Erik kreeg je dit binnen via je eigen MTA of op een externe dienst die je afneemt particulier, zakelijk?
De mail was gestuurd naar een "info@" van een domeinnaam in mijn bezit, die ik momenteel niet gebruik (ik heb een catch-all ingesteld bij de DNS-boer).

Van daaruit is de mail doorgestuurd (door de DNS-boer) naar één van mijn Xs4All (KPN dus) e-mail-aliases. Ik heb de mail tot nu toe slechts op mijn iPhone bekeken (met Apple mail waarmee ik geen headers kan bekijken, maar die boeien mij in dit geval niet).

Volgens dat mail-programa is de afzender: Bunq

Als ik daar 1x op druk zie ik: Van: Bunq >

Als ik dan op dat "> tekentje druk, zie ik de SMTP-afzender in "Contacten" (ik heb @ door # vervangen):
chen#goldglass.biz

Zie https://security.nl/posting/834347 voor mijn mening over de waardeloze junk (tegen spoofing) genaamd SPF, DKIM en DMARC (waarom, Engels: https://infosec.exchange/@ErikvanStraten/112038449528533063).

Toevallig weet ik precies hoe je mailheaders kunt analyseren, maar normale mensen hebben daar géén idee van. En ikzelf hoefde geen headers te bekijken, want aan en [1] zag ik meteen al dat het foute boel was (de SMTP-afzender heb ik ook gecheckt, maar daarvóór wist ik al genoeg).

Door Anoniem: Want de mail header analyse in dit geval is stukken interessanter [...]
Ik vind het totaal niet "stukken interessanter" wat er in die headers staat.

Feit is dat deze mail NIET als spam is getagged op basis van de INHOUD. Terwijl mijn spamfolder vol staat met legitieme mails van maillijsten waarbij DKIM kapot ging.

"We" verzinnen voortdurend "oplossingen" die een DEEL van de alom aanwezige cybercriminaliteit bestrijden, met veel, vaak uiterst onaangename, bijwerkingen AKA collateral damage.

Aan halve maatregelen hebben de slachtoffers, bij wie toevallig, GEEN ENKELE BEVEILIGINGSMAATREGEL WERKTE, HELEMAAL NIETS.

Criminelen kunnen, voor een grijpstuiver, duidelijk kwaadaardige domeinnamen registreren, zoveel per dag als zij willen (vooral .com in dit geval) en voor, al maanden overduidelijk foute sites op één Russisch IP-adres (waarvan 10 virusscanners zeggen dat het foute boel is: https://www.virustotal.com/gui/ip-address/91.215.85.79/summary), in een oogwenk, duizenden gratis (*) Let's Encrypt (maar ook andere DV-) certificaten verkrijgen (die nooit worden ingetrokken).

(*) Hun -ongetwijfeld zeer grote- infrastructuur kost bakken met geld. Dat betalen hun sponsors (big tech) die wij met z'n allen betalen.

En daarom bestaat er een wet die slachtoffers zou moeten beschermen, waar Kifid en Bunq et al. steeds meer scheit aan hebben.

Fuck mail headers. Internet is één grote criminele bende waar (bijna) niemand zich aan wil branden - en vooral (de hiermee hun zakken vullende) big tech niet.
21-03-2024, 19:21 door Anoniem
In die laatste zin sla je wel degelijk de spijker volledig op de kop.

Big Tech, zelfs binnen een A.I. chatbot sessie
kunnen ze het nog niet laten om een reclamelink te tonen
van Amazon.

"Floepers" zijn het bij Big tech, zeiden wij vroeger als tieners.
En het wordt alleen maar erger.
22-03-2024, 03:48 door Anoniem
Door Erik van Straten:
Door Anoniem: Even vraagje Erik kreeg je dit binnen via je eigen MTA of op een externe dienst die je afneemt particulier, zakelijk?
De mail was gestuurd naar een "info@" van een domeinnaam in mijn bezit, die ik momenteel niet gebruik (ik heb een catch-all ingesteld bij de DNS-boer).

Van daaruit is de mail doorgestuurd (door de DNS-boer) naar één van mijn Xs4All (KPN dus) e-mail-aliases. Ik heb de mail tot nu toe slechts op mijn iPhone bekeken (met Apple mail waarmee ik geen headers kan bekijken, maar die boeien mij in dit geval niet).

Volgens dat mail-programa is de afzender: Bunq

Als ik daar 1x op druk zie ik: Van: Bunq >

Als ik dan op dat "> tekentje druk, zie ik de SMTP-afzender in "Contacten" (ik heb @ door # vervangen):
chen#goldglass.biz

Zie https://security.nl/posting/834347 voor mijn mening over de waardeloze junk (tegen spoofing) genaamd SPF, DKIM en DMARC (waarom, Engels: https://infosec.exchange/@ErikvanStraten/112038449528533063).

Toevallig weet ik precies hoe je mailheaders kunt analyseren, maar normale mensen hebben daar géén idee van. En ikzelf hoefde geen headers te bekijken, want aan en [1] zag ik meteen al dat het foute boel was (de SMTP-afzender heb ik ook gecheckt, maar daarvóór wist ik al genoeg).

Door Anoniem: Want de mail header analyse in dit geval is stukken interessanter [...]
Ik vind het totaal niet "stukken interessanter" wat er in die headers staat.

Feit is dat deze mail NIET als spam is getagged op basis van de INHOUD. Terwijl mijn spamfolder vol staat met legitieme mails van maillijsten waarbij DKIM kapot ging.

"We" verzinnen voortdurend "oplossingen" die een DEEL van de alom aanwezige cybercriminaliteit bestrijden, met veel, vaak uiterst onaangename, bijwerkingen AKA collateral damage.

Aan halve maatregelen hebben de slachtoffers, bij wie toevallig, GEEN ENKELE BEVEILIGINGSMAATREGEL WERKTE, HELEMAAL NIETS.

Criminelen kunnen, voor een grijpstuiver, duidelijk kwaadaardige domeinnamen registreren, zoveel per dag als zij willen (vooral .com in dit geval) en voor, al maanden overduidelijk foute sites op één Russisch IP-adres (waarvan 10 virusscanners zeggen dat het foute boel is: https://www.virustotal.com/gui/ip-address/91.215.85.79/summary), in een oogwenk, duizenden gratis (*) Let's Encrypt (maar ook andere DV-) certificaten verkrijgen (die nooit worden ingetrokken).

(*) Hun -ongetwijfeld zeer grote- infrastructuur kost bakken met geld. Dat betalen hun sponsors (big tech) die wij met z'n allen betalen.

En daarom bestaat er een wet die slachtoffers zou moeten beschermen, waar Kifid en Bunq et al. steeds meer scheit aan hebben.

Fuck mail headers. Internet is één grote criminele bende waar (bijna) niemand zich aan wil branden - en vooral (de hiermee hun zakken vullende) big tech niet.
Als eerste dank voor een deel van de informatie maar ik denk dat je mijn intentie omtrent de mailheaders niet helemaal hebt begrepen. Ik vroeg niet om of je de mailheaders had gezien omdat ik denk dat reguliere gebruikers dit moeten doen maar meer omdat het naar mijn mening vele malen beter is als mailproviders hun verantwoordelijkheid nemen en de boel filteren *voor het uberhaubt in de box van eindgebruikers komt*

Ik stuur eindgebruikers veel liever een dagelijkse of wekelijkse report, digest van wat we waargenomen onder mom van: "Dit is wat we hebben tegengehouden op je domein als je iets mist klik hier als je deze toch wilt vrijgeven naar je spambox of klik hier als je deze altijd wil laten bezorgen zolang geen malware signature is gevonden. Let op risico van phising bij vrijgave of neem contact met ons op zodat wij je kunnen helpen bij het beoordelen of dit veilig is." Dat liever dan dat ik een niet technische gebruiker direct verantwoordelijk maak over of iets veilig is ja of nee zonder een tussenstap waar men nog even moet nadenken is dit verstandig ja of nee.

Uiteraard wel met vrijwaring voor we mail uberhaubt handmatig onderzoeken op inhoud gezien AVG and such. Maar ik heb tot heden nog geen klant meegemaakt die niet happy was dat we ze van een ransomeware, phising aanval hebben beschermd door het aanbieden van handmatige audits op twijfelachtige berichten. Daarintegen betalen ze ook behoorlijk meer bij ons dan een gemiddelde provider omdat we aan maatwerk advies doen in plaats een lullig kb item copy pasten.

Zelfde reden voeren wij bijvoorbeeld ook een zero tolerance op enige mogelijk macro bevattende bijlage type want ik ga er niet van uit dat een eindgebruiker de alertheid bezit om hier constant de aandacht aan te besteden of iets veilig is nog niet te hebben over zeroclick exploits. Wil je bijvoorbeeld een .doc ontvangen of sturen via ons tja dan heb je pech we weigeren mee te werken aan verlagen van de veiligheid hier heb je een alternatieve methode om het te versturen hier heb je een veiligere methode van extentie type. Niet eens met ons beleid hier is een lijst van branche genoten die je mogelijk wel nog willen ondersteunen maar het is niet verstandig en je gaat jezelf een keer er aan branden.


Maar dat alles is zeer lastig als we niet weten welke strategie criminelen volgen en hoe we daar met de huidige bestaande technieken op in kunnen spelen. Mailheaders is een onderdeel van daar op inspelen dus nee ik denk niet fuck mailheaders het is een geweldig hulpmiddel enkel niet voor de eindgebruikers en dat is ook nooit de intentie ervan geweest maar dat hoef ik jou niet te vertellen.

En ik vind ook je hebt absoluut gelijk op het punt dat spf dkim dmarc niet goede methode is om spam ooit te blokkeren.
Daarom dat ik ook de score opbouw had gestuurd van vorige campagne waar ook de inhoud van de berichtgeving gewogen wordt zoals het naar mijn mening hoort. De kans dat ze een bericht updaten qua opbouw vs de vesturende domeinen is vele malen kleiner gezien het meestal batch runs zijn van uit een kleine selecties templates en daar kan je dan ook naar mijn mening ze eerder een halt roepen als MTA beheer dan ooit met een domein ip block. Naast ASN controle op afwijking van reguliere communicatie van bedrijven.

Ik kan tig lijsten met IP's preventief of actief updaten maar daar zal altijd een zeer lage marge van nut in zitten naast dat het je infra vertraagt. Dus behalve voor het rechtvaardigen van blokkeren van volledige rogue ASN's zie ik weinig nut van IP lijsten uitwisselen van verkeerde domeinen als we het hebben over niet geautomatiseerde lijst verwerkingen.


Maar heb je een beter idee op dit moment hoe we het failiet van mail beveiliging kunnen tackelen? Want tot op heden in de 20+ jaar dat ik dit werk doe heb ik nog geen enkel beter concept gezien dat verder is gekomen dan de brainstorm fase. De enige manier die ik zelf zie is dat we niet langer genoegen nemen met de mogelijkheid domeinen adhoc vast te leggen zonder van te voren gecontroleerde WHOIS informatie en ook direct aansprakelijkheid implementeren bij A incorrecte informatie en B bij abuse een maand uitsluiting van nieuwe TLD toewijzing volgende overtreding een jaar en derde permanent.

De industrie is veel te laks in controles op alle fronten maar dat betekend wel tegelijk een hele grote omslag qua denkwijze ook voor eindgebruikers. Want het is dan gedaan met direct iets kunnen registreren en mensen zijn helaas niet meer gewend eraan dat ze langer dan X seconde moeten wachten op iets.


Daarin tegen heb ik wel heel veel domme implementaties gezien in de jaren van hoe we eindgebruikers alternatief zouden moeten beveiligen.

Ik had gister nog bijvoorbeeld een felle discussie met een tmobile germany senior mailserver engineer omdat hun infra een bericht reply van een van onze klanten tegenhield naar een door hun eigen klanten geinitieerde conversatie Niet omdat ze als spam werden gezien niet omdat spf, dkim, dmarc verkeerd stond of ontbreken van PTR nog inhoud van de mail maar omdat de mail server domein zelf geen direct zichtbare contact info had als homepage die ze konden controleren op bedrijfsnaam. In plaats gewoon de HELO controleren op overeenkomstigheid. Of we onze mail server even een redirect wouden geven naar onze company page bij bezoeken van de actual mailserver domein.

Dat was voor t-mobile germany belangrijker dan een check op domein, IP reputatie bij externe bronnen en was volgens hun genoeg om een neurtral score naar een whitelist te zetten. Zelf uiteraard trokken ze zich niks aan van hun eigen regels waren hun MX vervuild tot en met qua reputatie nog hoefde Microsoft of Google dit soort belachelijke implementaties uit te voeren want die werkte toch niet mee. (wat een schok)

Hun andere alternatief was de klant een eigen IPv4 range te geven zonder rekening te houden dat het niet echt slim is om een eigen mail IP range te geven als je zeer weinig traffic genereert als het domein gezien geen enkele reputatie service je dan ooit van neutral naar good reputation gooit. En nu heb je ineens grotere issues want er is een IP switch gesignaleerd van een domein IP met een jarenlang clean track record op hoge hoeveelheid mail naar een onbekende reeks waar nog nooit traffic over heen is gekomen.

Ik heb nog geen reactie gehad op mijn reply of hij ooit van S3150 had gehoord aangaande nieuwe IP's maar ik vermoed dat er niet veel zinnigs nog uit gaat komen. Frankly ben ik geneigd om hun verzoek te honoreren en overal hun naam te plasteren als een 1995 freewebs html pagina opzet op de betreffende mailserver met marquee text en andere 90s era crap just to spite them. Al wint mijn verstand morgen probably van de baldadigheid en zal ik de klant in kwestie gewoon advies geven maak een gratis mail account buiten ons om aan en advies sugereren richting hun eigen contactpersoon dat ze een idiot van een provider hebben die achter hun rug om nu mogelijk hun klanten kost omdat ze absurde beveiliging protocol hebt waar niemand ooit van heeft gehoord en 0,0 nut heeft voor werkelijke veiligheid. (uiteraard in diplomatieke vorm geschreven)
22-03-2024, 11:40 door Erik van Straten
@Anoniem 22-03-2024, 03:48: ik begrijp jou, heel lang heb ook ik gefocussed op allerlei technische oplossingen voor problemen met een niet-technische oorzaak.

En hoewel ik meer dan 20 jaar geleden van sommige technische "oplossingen" al inzag dat ze krankzinnig waren (*), had ik veel eerder kunnen bedenken dat we, op veel meer gebieden, poreuze fietsbanden aan het plakken waren.

(*) In https://seclists.org/fulldisclosure/2004/Jan/451 schreef ik, vrij vertaald: het is krankzinnig dat, middels "Personal Firewall Day", doorsnee mensen een PFW aan zouden moeten zetten om de tig poorten die Windows openzet (anno 2024 nog steeds, zero trust anyone?) ontoegankelijk te maken.

Om vervolgens door de halve security-wereld te worden afgebrand in die draad (mijn huid is daar een stuk dikker van geworden).

Stap eens in een virtuele helikopter. Het is allemaal half werk: criminelen prikken steeds effectiever door de halve maatregelen heen en vangnetten (voor de sowieso onvermijdelijke slachtoffers) worden weggehaald, want aandeelhouders van o.a. banken eisen ook dat geld op.
22-03-2024, 13:31 door Briolet
En ik vind ook je hebt absoluut gelijk op het punt dat spf dkim dmarc niet goede methode is om spam ooit te blokkeren.

Deze technieken blokkeren idd geen spam, maar maken het wel onmogelijk om een domeinnaam te spoofen. Ik zie nooit meer phishing in mijn mailbox met een gespoofde afzender. Als je even naar de afzender kijkt en ziet dat de domeinnaam niet klopt, weet je direct dat het phishing is en hoeft niet eens verder te kijken.

NB. De naam die de afzender meestuurt, noem ik geen afzender. Een afzender is het zichtbare 'From' adres. Dat sommige mail programmas de afzender standaard niet tonen vind ik kwalijk. Apple Mail voor de desktop laat wel steeds het afzend adres zien. Je kunt de weergave hiervan alleen uitzetten voor afzenders die al in je adresboek staan. Mat de iPhone versie heb ik geen ervaring maar het is kwalijk als het daar anders werkt.
22-03-2024, 14:12 door Erik van Straten
Door Briolet: [...] maken het wel onmogelijk om een domeinnaam te spoofen.
En, zoals waar deze hele draad al over gaat: dat is totaal zinloos als je, gegeven een domeinnaam (SMTP-afzender in een e-mail, of nepsite in de adresbalk van jouw browser), niet weet dat die domeinnaam niet van de kennelijke organisatie is - misleid door de vele andere, vaak zeer overtuigende, niet verstopte, kenmerken (waaronder logo's) in e-mails en webpagina's.

Blijven roepen "dan moeten mensen maar leren waar zij exact op moeten letten" werkt, ruimschoots aangetoond in de praktijk, niet voor zeer veel internetters.

En dat gaat ook nooit gebeuren, want het niet allemaal kunnen volgen wat te techneuten zoals jij en ik allemaal roepen, is gewoon menselijk; niet iedereen heeft dezelfde vaardigheden. Los van dat de meeste organisaties zelf maar aanrommelen met domeinnamen; het valt vaak niet eens uit te leggen (microsoftonline.com, paypal.co.uk).

En daarom liegen "we" dat het allemaal niet zo moeilijk is. "Gebruik DMARC, dan geen phishing meer in je inbox!", of zojuist, uit https://infosec.exchange/@bsi@social.bund.de/112138664793404624:
Nie mehr komplizierte Passwörter! Mit #Passkeys könnt ihr endlich auf sie verzichten – die Einrichtung ist einfach und die #Authentisierung basiert auf einem kryptografischen Verfahren.
Alsof passkeys ineens alle wachtwoorden zouden kunnen vervangen, naast nog veel meer bull shit. (Mijn reactie is te vinden in de draad daaronder).

En vanwege dit brakke systeem waren er vangnetten voor slachtoffers (van dat systeem), die banken en Kifid radicaal afbreken. En wat jij -bij herhaling- "eigen schuld, dikke bult" vindt voor die slachtoffers. Wat jij zult blijven herhalen totdat je er zelf (of een naaste) flink intrapt.
22-03-2024, 16:22 door _R0N_
Die mail komt de laatste weken wel vaker voorbij.
ChatGPT weet de mailtjes zo mooi te maken dat de gemiddelde spamfilter deze niet meer weet tegen te houden.
22-03-2024, 16:59 door Anoniem
Door Briolet:
En ik vind ook je hebt absoluut gelijk op het punt dat spf dkim dmarc niet goede methode is om spam ooit te blokkeren.

Deze technieken blokkeren idd geen spam, maar maken het wel onmogelijk om een domeinnaam te spoofen. Ik zie nooit meer phishing in mijn mailbox met een gespoofde afzender. Als je even naar de afzender kijkt en ziet dat de domeinnaam niet klopt, weet je direct dat het phishing is en hoeft niet eens verder te kijken.

NB. De naam die de afzender meestuurt, noem ik geen afzender. Een afzender is het zichtbare 'From' adres. Dat sommige mail programmas de afzender standaard niet tonen vind ik kwalijk. Apple Mail voor de desktop laat wel steeds het afzend adres zien. Je kunt de weergave hiervan alleen uitzetten voor afzenders die al in je adresboek staan. Mat de iPhone versie heb ik geen ervaring maar het is kwalijk als het daar anders werkt.
Helaas is spoofen van mail dood eenvoudig ook de from en enige envelop.
dmarc vereist gigantisch veel resources als in tijd en mankracht als je het goed wil implementeren dat wil zeggen verder gaan dan de absurde default v=DMARC1; p=none; je kan het als registrar niet zelf je klanten moeten ook zelf beheer hebben want je kan als registrar niet voor ze beslissen hierin.

Meeste providers bieden geen uitleg nog ondersteuning bij forensische reporting van dmarc wat eigenlijk wel noodzakelijk is. De meeste providers gaan van is er een dmarc txt record ja ok is er dkim en spf ? Ja ok doorlaten.
Waarom je waarschijnlijk bijna nooit spam ziet is omdat je voorzichter met je data omgaat en mogelijk een betere host hebt die dus ook meer doet dan je denk in de achterkant.

Ik ben het eens met Erik dat we dit niet technische kunnen oplossen op dit moment.
Maar ik kan ook niet anders dan het nu wel technisch aanpakken wat er is geen ander systeem bedacht.
En dan kom ik dus bij mijn eerdere vraag richting Erik weer.

Door Erik van Straten: @Anoniem 22-03-2024, 03:48: ik begrijp jou, heel lang heb ook ik gefocussed op allerlei technische oplossingen voor problemen met een niet-technische oorzaak.

En hoewel ik meer dan 20 jaar geleden van sommige technische "oplossingen" al inzag dat ze krankzinnig waren (*), had ik veel eerder kunnen bedenken dat we, op veel meer gebieden, poreuze fietsbanden aan het plakken waren.

(*) In https://seclists.org/fulldisclosure/2004/Jan/451 schreef ik, vrij vertaald: het is krankzinnig dat, middels "Personal Firewall Day", doorsnee mensen een PFW aan zouden moeten zetten om de tig poorten die Windows openzet (anno 2024 nog steeds, zero trust anyone?) ontoegankelijk te maken.

Om vervolgens door de halve security-wereld te worden afgebrand in die draad (mijn huid is daar een stuk dikker van geworden).

Stap eens in een virtuele helikopter. Het is allemaal half werk: criminelen prikken steeds effectiever door de halve maatregelen heen en vangnetten (voor de sowieso onvermijdelijke slachtoffers) worden weggehaald, want aandeelhouders van o.a. banken eisen ook dat geld op.
ja het is allemaal een half dood geheel het internet en mailservers zijn een groot deel het probleem daar in.
Maar hoe kunnen we dit oplossen? Ik bedoel dat niet als in een excuus dat we niks kunnen doen maar ik heb echt werkelijk geen enkel idee hoe we dit moeten oplossen voor de eindgebruikers.

Je hoeft mij niet te vertellen dat we een zinkend schip (internet) eigenlijk vol aan het plakken zijn met ducttape en net zoveel water scheppen als lekt Ik begeef me ook al 20+ jaar in dit zooitje en ik wacht op het moment dat we de spreekwoordelijke ijsberg rammen. Maar als MTA beheer kan je moeilijk zeggen van we geven het geheel op. Nou ja het kan wel kan zelfs met pensioen en goed vertoeven maar ik heb te veel respect voor mezelf mijn vak en voornamelijk voor mijn klanten om die ermee op te zadelen.

En nee ik denk ook niet dat we dit technisch kunnen oplossen op dit moment en waarschijnlijk nooit met het internet 1.0 Maar hoe wel? Wachten op internet 2.0? We weten volgens mij beide dat het net zo zooitje wordt of nog erger omdat er nu vanaf begin lobbies op zitten van big tech en als die een ding niet willen is dat hun klanten weerbaarder worden.


ik moet btw zeggen het ging er nog amicable daar aan toe bij seclists.org weet niet of je ooit bij ietf workgroups hebt gezeten of erger Linus Torvalds threads vroeger maar daar kreeg je ook dikke huid van.

Oh btw over discussie gesproken zojuist gewonnen van Tmobile Germany. Heb ze blijkbaar genoeg getergd met feiten daar dat ze van me af wouden en onze zin hebben gegeven ;)
22-03-2024, 17:38 door Erik van Straten
Zojuist getest: zowel [1] als [2] worden nog niet door Google Safe Browsing geblokt (ze werken dus nog).
23-03-2024, 14:47 door Erik van Straten
Beide sites zijn nog live en worden niet geblokt door GSB (Google Safe Browsing).

Het aantal (en welke) virusscanners dat kwaad ziet in [2] is ongewijzigd (#12/93, https://www.virustotal.com/gui/url/446728c5ec9fad1a5f2b95e5c0df87dc79628c16db706bbef80a507e6697cc78.
24-03-2024, 15:38 door Anoniem
Community op VT zegt gevaarlijke vorm van PHISHING.
24-03-2024, 19:55 door Erik van Straten
Door Anoniem: Community op VT zegt gevaarlijke vorm van PHISHING.
Klopt, de eerste melding is van 11 dagen geleden. Maar als internetter heb je daar niks aan, zolang zowel [1] als [2] nog gewoon bereikbaar zijn (zojuist getest).

En kennelijk leiden ook die comments er niet toe dat, en/of:
• De servers zelf ofline worden gehaald (door de hoster),
• De DNS-records ongeldig worden verklaard,
• De certificaten worden ingetrokken,
• Google Safe Browsing ze blokkeert,
• Meer virusscanners ze blokkeren.

Dat laatste is, m.b.t [2], ongewijzigd sinds gisteren (12/93). Niet geblokkeerd wordt [2] door de volgende, mij redelijk tot goed bekende, virusscanners:
• Acronis
• Emsisoft
• ESET
• Heimdal Security
• Juniper Networks
• Kaspersky (Unrated)
• Netcraft (Unrated)
• Rising

Ook de volgende scanners, waarvan ik weet dat ze gespecialiseerd zijn in foute URL's, en/of ik dat uit de naam afleid, slaan er niet op aan:
• OpenPhish
• PhishFort (Unrated)
• PhishLabs (Unrated)
• Phishing Database
• Phishtank
• PrecisionSec (Unrated)
• SafeToOpen (Unrated)
• SCUMWARE.org
• Spam404
• StopForumSpam
• Sucuri SiteCheck
• Threatsourcing
• URLhaus
• URLQuery (Unrated)
• Xcitium Verdict Cloud (Unrated)
• Yandex Safebrowsing

Opvallende afwezigen in de lijst van scanners op VT (van 93 stuks) zijn Avast, F-Secure, Malwarebytes, Microsoft en Norton (en wellicht vergeet ik er nog wat).
24-03-2024, 21:15 door Anoniem
We kunnen het zo niet hardop vermoeden. Maar is er de mogelijkheid dat bepaalde partijen dit soort PHISHING 'gedoogt'?

Ik bedoel dat in die zin van "turning a blind eye" om het zo uit te drukken. Is dat officieus wat er gebeurt?
25-03-2024, 13:38 door Anoniem
Hier geeft men het ook niet onomstotelijk aan:
https://checksite.ai/report/werk-bij-bu-nq-nl.com

Dus A.I. haalt 'm er ook niet direct uit.

luntrus
25-03-2024, 17:46 door Erik van Straten
Laatste nieuws: sites zijn nog live, niet geblokkeerd door Google Safe Browsing, maar er is wel iets veranderd: https://www.virustotal.com/gui/url/446728c5ec9fad1a5f2b95e5c0df87dc79628c16db706bbef80a507e6697cc78 meldt nu, met 11/93, één virusscanner minder: TrustWave zegt nu "clean".

Door Anoniem: We kunnen het zo niet hardop vermoeden. Maar is er de mogelijkheid dat bepaalde partijen dit soort PHISHING 'gedoogt'?
Vanzelfsprekend. In https://security.nl/posting824713 schreef ik onder meer:
Verderop schreef Josh Aas (in 2015):
At least for the time being, Let’s Encrypt is going to check with the Google Safe Browsing API before issuing certificates, and refuse to issue to sites that are flagged as phishing or malware sites.
Dat doen ze, zoals ik heb aangetoond, niet of niet meer. Veel zin zou dat overigens niet hebben, want dan vragen voortaan alle phishers een nieuw certificaat aan voor elke nieuwe domeinnaam die zij geregistreerd hebben (verreweg de meesten doen dat nu al).

Dat is natuurlijk een kip-ei-probleem, maar als kijkt naar de gebruikte IPv4 adressen adresreeksen van duidelijk foute hosters, is -bijv. enige tijd- geen certificaten uitgeven voor zo'n hoster helemaal niet moeilijk.

Probleem: heel veel fake sites worden gehost bij big tech waaronder Amazon, Cloudflare, Fastly, Google en Microsoft (waaronder Azure). Vaak met zeer veel (soms duidenden) websites achter 1 IPv4 adres. Als Let's Encrypt voor een IP-adres met één of meer foute websites, "als straf", een tijdje geen certificaten zou uitgeven, zou dat big tech veel geld kosten. Dan zouden zij onmiddellijk stoppen met het sponsoren van Let's Encrypt.

Om dezelfde reden is het zichtbare verschil tussen EV- en andere cerficaten uit browsers gesloopt: het is niet de bedoeling van big tech dat internetters non-EV-certs minder betrouwbaar vinden dan EV.

Dit systeem wordt bewust in stand gehouden. Als iemand QWAC roept, gilt big tech (en de door hen gesponsorde partijen) dat dan overheden gaan spioneren en dat daardoor het internet "onveilig wordt". Yeah right...
25-03-2024, 17:53 door Anoniem
Door Erik van Straten:
Door Anoniem: Community op VT zegt gevaarlijke vorm van PHISHING.
Klopt, de eerste melding is van 11 dagen geleden. Maar als internetter heb je daar niks aan, zolang zowel [1] als [2] nog gewoon bereikbaar zijn (zojuist getest).

En kennelijk leiden ook die comments er niet toe dat, en/of:
• De servers zelf ofline worden gehaald (door de hoster),
• De DNS-records ongeldig worden verklaard,
• De certificaten worden ingetrokken,
• Google Safe Browsing ze blokkeert,
• Meer virusscanners ze blokkeren.

Dat laatste is, m.b.t [2], ongewijzigd sinds gisteren (12/93). Niet geblokkeerd wordt [2] door de volgende, mij redelijk tot goed bekende, virusscanners:
• Acronis
• Emsisoft
• ESET
• Heimdal Security
• Juniper Networks
• Kaspersky (Unrated)
• Netcraft (Unrated)
• Rising

Ook de volgende scanners, waarvan ik weet dat ze gespecialiseerd zijn in foute URL's, en/of ik dat uit de naam afleid, slaan er niet op aan:
• OpenPhish
• PhishFort (Unrated)
• PhishLabs (Unrated)
• Phishing Database
• Phishtank
• PrecisionSec (Unrated)
• SafeToOpen (Unrated)
• SCUMWARE.org
• Spam404
• StopForumSpam
• Sucuri SiteCheck
• Threatsourcing
• URLhaus
• URLQuery (Unrated)
• Xcitium Verdict Cloud (Unrated)
• Yandex Safebrowsing

Opvallende afwezigen in de lijst van scanners op VT (van 93 stuks) zijn Avast, F-Secure, Malwarebytes, Microsoft en Norton (en wellicht vergeet ik er nog wat).
ESET Endpoint Security pakt het op en blokkeert de connectie en ik krijg een alert in ons dashboard zoals verwacht dat er phising content is tegengehouden.

Als je dit test met Virustotal dan snap ik wel waarom er zoveel ontbreken die werken niet met de laatste releases van alle leveranciers. Daarom ook dat ze die disclaimer erop hebben als je over een item hovert. Mogelijke afwijking bij commercieel product. Simpel gezegd is VT niks waard buiten een quickscan om.
25-03-2024, 20:56 door Anoniem
Het is fout gegaan omdat gratis certificaten
hiertoe de mogelijkheden boden.

Overheden en tandeloze waakhonden doen alsnog niets;
blaffen niet en bijten niet.

Ze houden zich koest voor het gewin
der aandeelhouders van Big Tech
met hun broeders in cybercrime.
25-03-2024, 21:32 door Gedupeerde
Los van de mogelijke blind eye van Big Tech .......Het zou voor een bank toch een hoop problemen voorkomen als zij tegen onbetrouwbare websites direct actie ondernemen?
Niet alle phishing gaat via email, ook whatsapp en sms horen bij het arsenaal van de scammers.

Vraag (van een leek): het lijkt mij te lukken om met 10 minuten werk op een aantal browsers een waarschuwing te krijgen voor een overduidelijke frauduleuze-site. Waarom doen banken dit niet zelf?

In verband met een fraude van 90K+ zou ik heel graag rechtstreeks contact willen hebben met Erik van Straten.
@ security , willen jullie ons koppelen?

Thanks !
25-03-2024, 21:51 door Anoniem
Door Anoniem:
ESET Endpoint Security pakt het op en blokkeert de connectie en ik krijg een alert in ons dashboard zoals verwacht dat er phising content is tegengehouden.

Als je dit test met Virustotal dan snap ik wel waarom er zoveel ontbreken die werken niet met de laatste releases van alle leveranciers. Daarom ook dat ze die disclaimer erop hebben als je over een item hovert. Mogelijke afwijking bij commercieel product. Simpel gezegd is VT niks waard buiten een quickscan om.

Joh, het is echt onvoorstelbaar hoe mensen achter EvS aan lopen.

Dit heeft helemaal niets te maken met zijn kruistocht tegen Lets Encrypt, en ook de ontmanteling daarvan helpt niets.
25-03-2024, 23:43 door Anoniem
Als je hier een kijkt, welke IPs er allemaal worden gerapporteerd
https://www.abuseipdb.com/
en waar dat dan maar niet voert tot enige actie tegen het misbruik door/op hosters,
noch tot scan resultaten en detecties bij o.a. av-vendors,
dan is het volgende gezegde zeker waar:
"Voor de smeer likt de kat de kandeleer".
"It is all about the money, stupid".

Dan daarnaast nog eens een overheid noch een tandeloze waakhond als in Ierland,
die hun werk niet naar behoren doen en de eindgebruiker is weer eens overduidelijk "het bokkie".

Nogmaals aangedragen en gedemonstreerd door onze goede vriend, Erik van Straten,
hulde daarvoor, maar behalve in deze draad valt er merendeels een ijzige stilte te beluisteren.
Er zijn kennelijk "gelijke" en "meer dan gelijke" dieren.
26-03-2024, 01:13 door Erik van Straten - Bijgewerkt: 26-03-2024, 01:15
(sorry, dubbel)
26-03-2024, 01:14 door Erik van Straten
Door Gedupeerde: Los van de mogelijke blind eye van Big Tech .......Het zou voor een bank toch een hoop problemen voorkomen als zij tegen onbetrouwbare websites direct actie ondernemen?
Het is goedkoper als je de klanten voor de schade laat opdraaien. Als ze gaan klagen verwijs je hen door naar het Kifid. Voor de bühne oordeelt Kifid in een deel van de gevallen dat de bank voor de kosten opdraait, maar overall is dat een besparing.

Door Gedupeerde: In verband met een fraude van 90K+ zou ik heel graag rechtstreeks contact willen hebben met Erik van Straten. @ security , willen jullie ons koppelen?
Je kunt mij mailen, mijn e-mailadres is te vinden onderaan mijn foto in mijn profiel (klik op mijn naam hierboven). Nb. ik natuurlijk geen idee of jij echt voor 90k bent opgelicht, of dat je iemand bent die het niet fijn vindt dat ik over dit soort zaken schrijf. Ik beloof dan ook niet dat je antwoord krijgt (sowieso ben ik geen gratis helpdesk; als je jouw vraag op dit forum stelt, is de kans groter dat ik reageer, want dan hebben andere lezers daar mogelijk ook iets aan).

Door Anoniem: Het is fout gegaan omdat gratis certificaten hiertoe de mogelijkheden boden.
V.w.b. certificaten gaat het niet alleen om de kosten, waarbij zelfs die nauwelijks een rol zouden spelen als zij laag genoeg zouden zijn. Wel is het zo dat 0 Euro geen money-trail betekent, maar vooral van belang zijn:

• Succes verzekerd, zelfs bij ronduit stinkende domeinnamen en IP-adressen;

• De snelheid waarmee je een DV-cert verkrijgt, met name Let's Encrypt;

• Allerbelangrijkste: omdat er geen aanvullende identificerende gegevens van de aanvrager in het certificaat worden opgenomen (laat staan dat de certboeren checken of die kloppen), hoeven die ook niet meer te worden aangeleverd. In elk geval voor de certboer blijven criminelen dus zo goed als anoniem.

Maar het gaat niet alleen om certificaten. Domeinnamen kosten wel geld, bar weinig maar er is wel een money trail. Kennelijk zijn er zat louche registrars die duidelijke phishingamen registreren. Hosting is duurder, vooral als je IPv4-adressen "oprookt" doordat er wel erg veel foute websites achter zitten.

En, ik schreef dit al eerder, er is ook een hele domeinnaamwitwasindustrie onstaan. Twee voorbeelden die ik zojuist zag:
microsoftonline.apt0[.]live
microsoftonline.agt0[.]live
(subdomein bijv. sso.microsoftonline.agt0[.]live)

Deze herbergen momenteel geen phishingsites, maar worden witgewassen, of er wordt "reputatie" voor opgebouwd, door Bodis. Ze worden gehost bij Amazon: https://www.virustotal.com/gui/ip-address/199.59.243.225/relations

Dat, op hetzelfde IPv4 adres, duidelijk gebruikt voor dit soort "aangeschoten" domeinnamen zoals uniabeu.edu.br[.]com en git.static.app.staging.new.remote.sitemap.static.chat.api.remote.tubsd18f50cdet.std.tavybocr.eas.simplehappykitchen[.]club - alsof iemand dat soort domeinnamen ooit echt gaat gebruiken, net zoals geldt voor de meeste van bijna 400 "siblings' (te zien in https://www.virustotal.com/gui/domain/simplehappykitchen.club/relations.

Nb. de certificaatverspilling, alléén al voor deze domeinnaam, valt te zien in
https://crt.sh/?q=simplehappykitchen.club: het gaat in dit geval zelfs om zóveel certs dat crt.sh ze niet meer allemaal laat zien.

Door Anoniem: Simpel gezegd is VT niks waard buiten een quickscan om.
Ik kan mij voorstellen dat:
1) VT wat achterloopt bij het updaten van definities, maar dan zou je, als een site al bijna 2 weken in de lucht is, toch wel wat beweging mogen verwachten;

2) VT zal mogelijk niet voor alle scanners "cloud-uploads" doen, maar persoonlijk zou ik dat ook uitschakelen; het gaat hen niks aan welke websites en bestanden ik open (en ik wil al helemaal niet dat, voor hen nog onbekende bestanden op mijn apparaten, "voor nader onderzoek" naar hun lab worden geüpload).

Bovendien zie ik, ook voor ESET op VT, dat deze sommige foute websites wél detecteert (voorbeeld: https://www.virustotal.com/gui/domain/www.bijwerken-bltvavo.com).

Het omgekeerde zou mij net zo goed niet verbazen, dus dat een scanner op VT wél aanslaat op een object, maar jouw peeceetje thuis niet. Het zijn allemaal lapmiddelen.
26-03-2024, 05:13 door Anoniem
Door Erik van Straten:
Ik kan mij voorstellen dat:
1) VT wat achterloopt bij het updaten van definities, maar dan zou je, als een site al bijna 2 weken in de lucht is, toch wel wat beweging mogen verwachten;

2) VT zal mogelijk niet voor alle scanners "cloud-uploads" doen, maar persoonlijk zou ik dat ook uitschakelen; het gaat hen niks aan welke websites en bestanden ik open (en ik wil al helemaal niet dat, voor hen nog onbekende bestanden op mijn apparaten, "voor nader onderzoek" naar hun lab worden geüpload).

Bovendien zie ik, ook voor ESET op VT, dat deze sommige foute websites wél detecteert (voorbeeld: https://www.virustotal.com/gui/domain/www.bijwerken-bltvavo.com).

Het omgekeerde zou mij net zo goed niet verbazen, dus dat een scanner op VT wél aanslaat op een object, maar jouw peeceetje thuis niet. Het zijn allemaal lapmiddelen.

[1]
Tja dat mag je aan Google vragen de eigenaar van VirusTotal. AntiMalware leveranciers leveren niet de signatures aan die haalt Google zelf op iets zegt me dat er hoe amicable ze ook over willen komen dat het nog steeds gewoon ook rivaliteit betreft tussen de industrie.

[2]
Tja dat is een catch 22 hoe betrouwbaar is die signature database en detecties als je niet gebruik kan maken van een global network aan scanner feeds? Zou ik persoonlijk live data doorsturen absoluut niet maar als er bij ons wat wordt gedetecteerd van hoog genoeg dreiging niveau gaat het wel via een malware specialist waar we directe lijn mee hebben bij de leverancier voor verdere analyse in hun lab en afhankelijk van type data kan die ook worden gebruikt voor andere individuals en bedrijven voor detectie.

Maar als we terug gaan naar dat het lapmiddelen zijn dat is alles in beveiliging. Scanners werken altijd 50/50 wat voor marketing ze ook doen. Het detecteer iets of het detecteert iets niet. Het zegt niks over of het klopt wat het detecteerd enkel dat het wat detecteerd. En als je geen verstand hebt van malware scanners zoals reguliere gebruikers hebben dit soort producten ook beperkt nut op wat ze kunnen bieden. Voor mensen zoals jou en ik die genoeg kennis hebben om false positives te identficieren heeft het absoluut nut maar nog steeds enkel voor alertheid niet voor echte beveilliging.

Gezond verstand wat je doet op internet uitschakelen van onnodige functies in browser en absoluut altijd standaard script blokkering gaan je beter helpen dan een malware scanner ooit kan. Ik heb particulier enkel handmatige scan software. Daarintegen moet ik en mijn ingebouwde systeem account elke poort connectie per domein en IP handmatig bevestigen. Ik doe dat liever dan dat ik ooit vertrouw op een scanner. Voor zakelijk is dat onhaalbaar dus daar moeten we wel werken met livescans om hotspots te detecteren voor verdere audit maar ik weet dat mijn particuliere beveiliging ironisch genoeg beter is dan waar ik zakelijk mee werk.

Dus ja het zijn het lapmiddelen als we *de oplossing* hadden was er geen markt in dit spul geweest.


Maar daar gaat het ook niet om het gaat erom dat als 1 signature dus niet overeenkomt met wat VT en jij doorgeeft is de kans aanwezig dat VT er meer fout heeft en jij daarmee dus ook in je thread. Dat zal dan individueel gevalideerd moeten worden *per product* voor we de conclussie kunnen trekken dat de indivduele producten werkelijk slecht detecteren op de specifieke urls of dat het gewoon Google is die hier de boel verknalt in VT.

Naast dat een hele reeks uit je tweede scanner lijst helemaal geen scanners zijn maar simpelweg user contributed databases en dus enkel op externe submission werken. En sommige zijn niet echt serieus te nemen. URL haus bijvoorbeeld heeft maar een index van 2,7 miljoen kwaadaardige URL's We zitten in de honderden miljoenen historische slechte URLs en zeker 100 miljoen actieve slechte urls ten alle tijden. De sample rate is te klein om te zeggen dit product is effciint in de zetten. En dat zal gelden voor veel van die scanners. Ik zou ze zelf daarom niet hebben genoemd omdat betrouwbaarheid los van deze urls mogelijk al niet goed is.

En de meeste leveranciers van dit soort lijsten, diensten weten ook dat het geen echt effect heeft maar gebruiken het simpelweg als goedkope SEO boost voor hun werkelijke diensten.


De url redirect die je benoemd klopt en is simpel htaccess truukje met useragents en IP ranges.
Dat truukje is decenia oud. Wij houden bijvoorbeeld Shodan scan ranges tegen bij klanten en sturen ze in een infinite loop op een honeypot buiten ons reguliere netwerken zodat die troep onze eigen security logs niet constant vervuild.

Wat ik niet snap is dat al die zogenaamde scanners niet gewoon als redirect naar google.com wordt gedetecteerd ze het niet al als verdacht bestempelen. Want welke site beheerder wil ooit zijn verkeer terug sturen naar google.com en zo zijn SEO en site bereik compleet killen. Van security plug-ins kan ik het nog snappen zodat bij bad url je terug gaat naar een voor relatieve begrippen veilige site maar reguliere sites is er geen reden te verzinnen en zoals gezegd bestaat dit al decenia dus het is ronduit slordig dat scanners hier nog uberhaubt in kunnen trappen.
26-03-2024, 11:41 door Anoniem
En dan hebben we het nog niet eens gehad over "generieke detecties"
en de daarbij voortdurend optredende FP's (valse positieven).

Kijk ook eens per site wat er allemaal al aan bibliotheken beter kan worden afgevoerd (retire.js).

Kijk eens naar niet mee onderhouden of zelfs "verlaten" code.

Wie gaat vanaf nu A.I. controleren bij het automatisch patchen van script tekortkomingen of kwetsbaarheden?

Het is dus een voortdurend aanmodderen en inherent aan Internet,
dat ondanks dat alles nog steeds functioneert en de aardkloot omspant.

Het wordt pas eng, als iemand voor een wat langere tijd de stop eruit zou kunnen trekken
en de maatschappij met een bepaald doel gericht zal worden ontwricht,
zoals waar het WEF wel terecht of zeer onterecht voor waarschuwt.

Trouwens de cyberproxy oorlogen woeden al overal.
27-03-2024, 06:26 door Anoniem
Voor wat er hier gebeurt, hebben we in het Nederlands een hele duidelijke term:
"verdonkeremanen" van PHISHING. Het is in feite niets anders.

Is men het met een dergelijke verklaring eens?
28-03-2024, 05:50 door Anoniem
Bij deze scam worden er ook mails verstuurd met onterechte dreigingen over verlengingen van av-abonnementen,
o.a. die eens waren voor geïnstalleerd op een vroegere PC. De zogeheten bunq scam is heel groots opgezet.

Dat er niet op ingegrepen wordt, is onbegrijpelijk. Nogmaals hulde voor Erik voor het aankaarten van e.,e.a.

En de ellende is (kennelijk) oorspronkelijk begonnen vanuit een hosting adres in St. Petersburg.
Onbegrijpelijk dat bijvoorbeeld dat Dr.Web het niet aankaart (av-bdrijf, dat zelf stamt uit St. Petersburg).

#laufer
28-03-2024, 08:07 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Ik kan mij voorstellen dat:
1) VT wat achterloopt bij het updaten van definities, maar dan zou je, als een site al bijna 2 weken in de lucht is, toch wel wat beweging mogen verwachten;
[...]
Bovendien zie ik, ook voor ESET op VT, dat deze sommige foute websites wél detecteert (voorbeeld: https://www.virustotal.com/gui/domain/www.bijwerken-bltvavo.com).

[1]
Tja dat mag je aan Google vragen de eigenaar van VirusTotal. AntiMalware leveranciers leveren niet de signatures aan die haalt Google zelf op [...]
Larie. Ik schreef dat ESET een andere phishingsite wél detecteert. Je gaat mij niet wijsmaken dat Google bij ESET selectief detectiedata op kan halen, wel voor de ene phishingsite maar niet voor een andere.

Nog eentje die ESET (en GSB = Google Safe Browsing) wel detecteren (13/90): https://www.virustotal.com/gui/domain/mbank.space/detection.

En eentje die ESET momenteel (nog) niet herkent (GSB wel): https://www.virustotal.com/gui/domain/faction.site/detection.

Je kunt er totaal niet op vertrouwen, dit is nog erger dan Russisch roulette (niet één kogel in de kamer, maar veel meer; de kans dat jouw virusscanner je in de steek laat is hartstikke groot).
28-03-2024, 08:13 door Erik van Straten
Nieuwe test zojuist: [1] en [2] (zie de bovenste posting voor de URL's) zijn nog steeds live en worden bij mij niet geblokt - ook niet door Google Safe Browsing met Enhanced Protection[/url].

Volgens https://www.virustotal.com/gui/url/446728c5ec9fad1a5f2b95e5c0df87dc79628c16db706bbef80a507e6697cc78 nog steeds 12/93 (ESET zit er niet bij).
28-03-2024, 08:16 door Anoniem
Het lijken wel gedoogde acties, als men het maar niet in de eigen achtertuin doet. Zoiets. Statelijke actoren ook hiermee bezig?
28-03-2024, 08:21 door Erik van Straten
Door Anoniem: En dan hebben we het nog niet eens gehad over [...]
[...]
Kijk ook eens per site wat er allemaal al aan bibliotheken beter kan worden afgevoerd (retire.js).

Kijk eens naar niet mee onderhouden of zelfs "verlaten" code.
Hou nou eens op met je whataboutism. Niemand schiet iets op met stupide opdrachten "kijk ook eens naar" notabene zonder dat je precies uitzoekt wat er speelt en ons zinvolle info aanlevert waar we wat van kunnen leren.

Door Anoniem: En wat moeten we denken over deze huidige redirect? [...]
Is dit een quiz of zo?
28-03-2024, 12:40 door Anoniem
Door Erik van Straten:
Larie. Ik schreef dat ESET een andere phishingsite wél detecteert. Je gaat mij niet wijsmaken dat Google bij ESET selectief detectiedata op kan halen, wel voor de ene phishingsite maar niet voor een andere.

Nog eentje die ESET (en GSB = Google Safe Browsing) wel detecteren (13/90): https://www.virustotal.com/gui/domain/mbank.space/detection.

En eentje die ESET momenteel (nog) niet herkent (GSB wel): https://www.virustotal.com/gui/domain/faction.site/detection.

Je kunt er totaal niet op vertrouwen, dit is nog erger dan Russisch roulette (niet één kogel in de kamer, maar veel meer; de kans dat jouw virusscanner je in de steek laat is hartstikke groot).
Nee Erik wat ik zeg is dat jou resultaten afwijken van geverifieerde data omdat je enkel vertrouwt op Virustotal results zonder dit zelf te verifiëren in de producten waar de melding wel of niet wordt weergeven.
https://go.screenpal.com/watch/cZeu6VV7PAa

Ik zeg niet dat Virustotal selectief iets doet en ik zeg ook niet dat ESET het wondermiddel is want dat is het absoluut niet. Ik ben me er van bewust dat malware scanners maar 50/50 werken en de rest marketing bshit is.

Maar wat je niet kan ontkennen is dat jou resultaten of beter gezegd Virustotal dus afwijken van de resultaten die je bij sommige vendors in hun eigen producten krijgt. En in plaats van af te geven richting die vendors (wat nog steeds terecht kan zijn) zeg ik je dus vraag eerst het aan Google de leverancier van Virustotal waardoor dit komt.

Je hebt vast wel een business contact bij Google die kan vertellen wat er aan de hand is met hun signatures als dit specifiek belangrijk voor je is dat je meerdere dagen aan het scannen bent met hun product. Tot die tijd kan ik niks anders dan de conclusie trekken dat Virustotal mogelijk niet overeenkomt met de werkelijkheid in de andere producten en wat ik al zeg enkel geschikt is voor een basis quickscan gebaseerd op een eigen audit met reproduceerbare data die ik hier voor onafhankelijke verificatie heb gepubliceerd.

https://go.screenpal.com/watch/cZeu6AV7P5Y
Dat is nu het tweede losse bewijs van afwijkende resultaten.

Ik ga er van uit dat als iemand iets claimt over een serieuze beveiliging kwestie dat de achterliggende data is gecontroleerd en zeker door iemand in cyber security, threat hunting, pentesting. Dit komt er in een professionele setting niet door heen bij een redactionele security audit voor men over gaat tot publicatie. En aan dat niveau hou ik je persoonlijk wetend wat je ervaring hier in is en waar je de data nu publiceert.

Zou jij dit accepteren van een collega als conclusie naar een klant? Of kunnen we het er over eens zijn dat hier fouten worden gemaakt met de audit methode en enige reflectie op het geheel beter is voor ieder hier. Want volgens mij wordt niemand hier blij van als informatie mogelijk incorrect is.

En dit alles staat los van de domein dreigingen zelf want dat is hoe dan ook kwalijk. Het is goed dat je er melding van maakt dank daarvoor. Wij hebben aan onze kant onze partners op de hoogte gesteld zoals eerder al in de forum thread aangegeven en ik hoop dat meer mensen dit doen en blijven doen.
28-03-2024, 22:04 door Erik van Straten
Door Anoniem: Nee Erik wat ik zeg is dat jou resultaten afwijken van geverifieerde data omdat je enkel vertrouwt op Virustotal results zonder dit zelf te verifiëren in de producten waar de melding wel of niet wordt weergeven.
https://go.screenpal.com/watch/cZeu6VV7PAa
Irrelevant. Ik ben niet bezig met een onderzoek naar virusscanners, en schreef onder meer:
Je gaat mij niet wijsmaken dat Google bij ESET selectief detectiedata op kan halen, wel voor de ene phishingsite maar niet voor een andere.
Waar je niet op ingaat.

Ik vermoed dat de reden als volgt is: elke "detectie" krijgt hoogstwaarschijnlijk een kanswaarde mee (hoger indien vaker gemeld, en lager bij PUP's (Potentially Unwanted Program - zoals psexec.exe of netcat.exe op een windows PC, of een website waarop niet werkende doch onschadelijke medicijnen, spierversterkers etc. worden verkocht).

Daarnaast hebben Virusscanners allerlei instellingen (niet persé toegankelijk voor de gebruiker), waaronder waarschijnlijk een "schuifregelaar"-instelling tussen:

a) "Agressiever": meer true positives en meer false positives;

b) "Terughoudender": meer true negatives en meer false negatives.

Het is hartstikke fijn voor jou als ESET bij jou thuis agressiever staat ingesteld dan ESET bij VT (wie weet zit er ook nog iets van AI in jouw thuisscanner, waarbij de instelling afhangt van jouw gedrag in het verleden. Als jij allerlei security-onderzoekjes doet en daarbij relatief veel "ellende" tegenkomt, zou de schuifregelaar wel eens een eind richting a) kunnen staan).

Oftewel, als ESET aan8 [2] een "kwaadaardigheidkans" van 50% heeft toegekend, en bij jou thuis de "agressiviteit" op 50% of hoger staat ingesteld, en bij VT op 49%, wordt [2] wel bij jou thuis maar niet bij VT gedetecteerd.

Wat als kwaadaardig wordt beschouwd kan overigens ook met de tijd veranderen (onaangekondigd). Ik schat, ruwweg een jaar of drie geleden, begon Microsoft Defender spontaan "hosts" files (die ik voor onderzoekjes had gebruikt en die in, niet voor de hosts-functie geraadpleegde, documentatiemappen stonden) in quarantaine te zetten (zucht). En als ik me goed herinner zijn er virusscanners die bij een versleutelde ZIP-file gaan proberen of het wachtwoord "infected" is, en zo ja, alarm slaan indien op die manier malware in die ZIP wordt ontdek.

En als morgen de slimste onderzoeker van ESET zich voor een maand ziekmeldt, kun je helemaal pech hebben.

Kortom: virusscanners zijn onvoorspelbaar. Sowieso is de detectiekans bij verse malware en nieuwe foute sites simpelweg laag.

Door Anoniem: Ik zeg niet dat Virustotal selectief iets doet en ik zeg ook niet dat ESET het wondermiddel is want dat is het absoluut niet.
Precies. Ik ben bezig met een topic waarmee ik aantoon dat je, als doorsnee internetter, vette pech kunt hebben - namelijk doordat schijnbaar toevallig een hele reeks aan beveiligingsmaatregelen jou (de internetter) in de steek laat.

Exact voor dergelijke situaties hebben we een wet waarvan de strekking is dat de bank de schade vergoedt - tenzij je medeplichtig bent geweest (d.w.z. de bank, willens en wetens, hebt bestolen of hebt helpen bestelen). Maar dat is, m.i. ongetwijfeld, niet het geval als je in scam [2] trapt (na daar door [1] naar toe te zijn doorgestuurd).
28-03-2024, 22:51 door Anoniem
Hoe presteren specifieke anti-phishing oplossingen?
Hoe werkt dit uit naar de eindgebruiker?

De eigenlijke missie van Google zit dan steeds in de weg.
De baat gaat steeds voor de kosten, dat breekt op.
29-03-2024, 02:22 door Anoniem
Door Erik van Straten:
Door Anoniem: Nee Erik wat ik zeg is dat jou resultaten afwijken van geverifieerde data omdat je enkel vertrouwt op Virustotal results zonder dit zelf te verifiëren in de producten waar de melding wel of niet wordt weergeven.
https://go.screenpal.com/watch/cZeu6VV7PAa
Irrelevant. Ik ben niet bezig met een onderzoek naar virusscanners, en schreef onder meer:
Je gaat mij niet wijsmaken dat Google bij ESET selectief detectiedata op kan halen, wel voor de ene phishingsite maar niet voor een andere.
Waar je niet op ingaat.

Ik vermoed dat de reden als volgt is: elke "detectie" krijgt hoogstwaarschijnlijk een kanswaarde mee (hoger indien vaker gemeld, en lager bij PUP's (Potentially Unwanted Program - zoals psexec.exe of netcat.exe op een windows PC, of een website waarop niet werkende doch onschadelijke medicijnen, spierversterkers etc. worden verkocht).

Daarnaast hebben Virusscanners allerlei instellingen (niet persé toegankelijk voor de gebruiker), waaronder waarschijnlijk een "schuifregelaar"-instelling tussen:

a) "Agressiever": meer true positives en meer false positives;

b) "Terughoudender": meer true negatives en meer false negatives.

Het is hartstikke fijn voor jou als ESET bij jou thuis agressiever staat ingesteld dan ESET bij VT (wie weet zit er ook nog iets van AI in jouw thuisscanner, waarbij de instelling afhangt van jouw gedrag in het verleden. Als jij allerlei security-onderzoekjes doet en daarbij relatief veel "ellende" tegenkomt, zou de schuifregelaar wel eens een eind richting a) kunnen staan).

Oftewel, als ESET aan8 [2] een "kwaadaardigheidkans" van 50% heeft toegekend, en bij jou thuis de "agressiviteit" op 50% of hoger staat ingesteld, en bij VT op 49%, wordt [2] wel bij jou thuis maar niet bij VT gedetecteerd.

Wat als kwaadaardig wordt beschouwd kan overigens ook met de tijd veranderen (onaangekondigd). Ik schat, ruwweg een jaar of drie geleden, begon Microsoft Defender spontaan "hosts" files (die ik voor onderzoekjes had gebruikt en die in, niet voor de hosts-functie geraadpleegde, documentatiemappen stonden) in quarantaine te zetten (zucht). En als ik me goed herinner zijn er virusscanners die bij een versleutelde ZIP-file gaan proberen of het wachtwoord "infected" is, en zo ja, alarm slaan indien op die manier malware in die ZIP wordt ontdek.

En als morgen de slimste onderzoeker van ESET zich voor een maand ziekmeldt, kun je helemaal pech hebben.

Kortom: virusscanners zijn onvoorspelbaar. Sowieso is de detectiekans bij verse malware en nieuwe foute sites simpelweg laag.

Door Anoniem: Ik zeg niet dat Virustotal selectief iets doet en ik zeg ook niet dat ESET het wondermiddel is want dat is het absoluut niet.
Precies. Ik ben bezig met een topic waarmee ik aantoon dat je, als doorsnee internetter, vette pech kunt hebben - namelijk doordat schijnbaar toevallig een hele reeks aan beveiligingsmaatregelen jou (de internetter) in de steek laat.

Exact voor dergelijke situaties hebben we een wet waarvan de strekking is dat de bank de schade vergoedt - tenzij je medeplichtig bent geweest (d.w.z. de bank, willens en wetens, hebt bestolen of hebt helpen bestelen). Maar dat is, m.i. ongetwijfeld, niet het geval als je in scam [2] trapt (na daar door [1] naar toe te zijn doorgestuurd).
Zorgelijk eerlijk dat is hoe ik je hele reactie kan omschrijving in één woord zorgelijk.

Waarom zeg je dat virusscan werking en resultaten niet relevant is als je zelf die data hebt aangeleverd erover en in je argumentering plaatst.

Waarom zeg je dat ik niet in ga op je vraag.
Nee Erik wat ik zeg is dat jou resultaten afwijken van geverifieerde data omdat je enkel vertrouwt op Virustotal results zonder dit zelf te verifiëren in de producten waar de melding wel of niet wordt weergeven. Ik zeg niet dat Virustotal selectief iets doet

Waarom ga je een heel verhaal typen over detection rates als ik letterlijk in mijn vorige en al eerdere response zei dat ik erken dat malware scanners 50/50 werken.
Ik ben me er van bewust dat malware scanners maar 50/50 werken en de rest marketing bshit is.

Scanners werken altijd 50/50 wat voor marketing ze ook doen. Het detecteer iets of het detecteert iets niet. Het zegt niks over of het klopt wat het detecteerd enkel dat het wat detecteerd.

En waarom met een ondertoon dat ik een of andere leek was die niet weet hoe scanners werken.

Nee je had niet met een leek te maken die uitleg nodig had over dat virusscanners opties hebben in hun configuratie. Ik ben de zelfde persoon die vroeg naar de mailheaders die jij toen niet relevant vond. En voor dat ik dat vroeg onze data van onze operation center aanleverde over vorige bunq aanvallen. En dus later uit beleefdheid melde dat onze scanners gewoon aansloegen op de urls die jij stuurde omdat we je melding serieus namen richting onze gebruikers. Maar ook waarnemen van afwijkende onderzoeks data en het wel zo netjes was om dat te melden aan de researcher. En dan krijg ik zo een reactie van je?

Ik heb vanaf begin duidelijk gemaakt dat het om endpoint security ging. Ik ga niet hier beide onze tijd ook nog eens verdoen met het plaatsen van de definitie van endpoint security.

Waarom trek je los daarvan ook nog de conclusie dat dit een thuis situatie was.
ESET Endpoint Security pakt het op en blokkeert de connectie en ik krijg een alert in ons dashboard zoals verwacht dat er phising content is tegengehouden.

Waarom zou er een neural network, A.I. actief zijn?
Zou ik persoonlijk live data doorsturen absoluut niet maar als er bij ons wat wordt gedetecteerd van hoog genoeg dreiging niveau gaat het wel via een malware specialist waar we directe lijn mee hebben bij de leverancier voor verdere analyse in hun lab en afhankelijk van type data kan die ook worden gebruikt voor andere individuals en bedrijven voor detectie.

Je had kunnen vragen om meer data over onze test setup, je had meer test data kunnen vragen of je had gewoon kunnen zeggen sorry hier wil ik geen tijd aan besteden. Had dat graag beantwoord en ook als je geen tijd wou besteden eraan gerespecteerd. Maar in plaats daarvan koos je de optie die ik niet van een professional had verwacht. Je deed aannames zelfs als de data aanwezig al was om een redelijke plausibele conclusie te kunnen maken over de infrastructuur waar getest op was of met wat voor soort gebruiker je in gesprek was. En ook nog eens foute aannames.

Naast ons corporate test netwerk heb ik naar aanleiding van je aannames ook even de moeite nog genomen een trial van het meest basis product op een willekeurige privé laptop te testen zonder aan de opties te zitten. https://pasteboard.co/l28kEsbQnshL.png
Geen verschil in omdat het dezelfde signatures betreft. Dus nee je aannames kloppen bij deze niet.
Dus er is geen enkele logische verklaring waarom VT niet erkent dat het product phising heeft herkend. En ik weet nogmaals niet waarom maar het getuigd niet van vertrouwen in VT resultaten net als we beide overeens zijn dat virusscanners zelf problematisch kunnen zijn. Maar niet relevant right?


Dus ik ga nu maar zelf mijn persoonlijke conclusies trekken maar dan over de gehele interactie gezien ik geen vooruitgang zie in de gehele discussie en hierna ook geen tijd meer aan wil besteden.

Je initiële data klopt niet. In hoeverre weet ik niet, doet er niet toe meer voor mij want het is niet meer te vertrouwen.
De screencaptures tonen de afwijkingen.

Je bent niet bereidt de geleverde data te auditten. Je argument daarin is dat het niet relevant is terwijl het over je eigen geplaatste data gaat.
Door Erik van Straten:Irrelevant. Ik ben niet bezig met een onderzoek naar virusscanners

Je neemt constructieve kritiek niet bepaald serieus.
Door Erik van Straten:Je gaat mij niet wijsmaken dat Google bij ESET selectief detectiedata op kan halen, wel voor de ene phishingsite maar niet voor een andere.

Je stelt vragen waar al antwoord op is gegeven wat getuigd ervan dat je iedergeval bij onze interactie niet eens de tijd neemt reacties zorgvuldig te lezen voor je een weder reactie plaatst.
Door Erik van Straten:Waar je niet op ingaat.

En het ergste je maakt aannames over situatie en over personen terwijl de gespreksdeelnemer en bron waar je de aannames over doet eerst had kunnen vragen om meer informatie. Dat is in mijn ogen een teken van geen respect voor de gespreksdeelnemers tonen. Ik hoef je niet uit te leggen hoe we omgaan in het bedrijfsleven met mensen die ongefundeerde aannames verspreiden.

Ik heb je altijd als een prettige gespreksdeelnemer ervaren met bruikbare informatie over waar ik zelf geen verstand van heb. Of in andere gevallen het interessant was om de blik van een professional buiten mijn eigen team en industrie partners te gebruiken. Voor reflectie op relevante meegemaakte scenario's of ideeen voor aanpak van een toekomstig issue. (of ik nu eens was met je conclusie of niet). Maar niet op deze manier.

Dit is ver onder het niveau van professioneel handelen in mijn ogen.
Ik kan niet vertrouwen op dat toekomstige informatie van je geverifieerd is. Je intentie om dat ook niet relevant te vinden is rond uit zorgelijk. Mijn anonieme forum interactie met je is daarmee na vele jaren dat we hebben gediscussieerd in het verleden (en ook vaak genoeg niet eens waren op respectvolle wijze) ten einde. Dank voor je bijdrages ook omtrent de bunq melding en het allerbeste nog gewenst.
29-03-2024, 11:52 door Anoniem
Toch wel fijn om dit allemaal in deze draad te kunnen volgen.

Het verduidelijkt weer een heleboel zaken, die hierbij om de hoek komen kijken.
Soms verzandt de discussie wel eens in een "de klok verwijt de klepel" verhaal,
maar dat kan bij elke gedachtewisseling gebeuren.
Als je er maar weer wat van opsteken kan.

Maar dat is bij een heleboel zaken zo, waar je pas via gevorderd inzicht weet van kan hebben.
Waarom moeten we steeds weer in " marketing verhaaltjes" geloven?
Waarom draait Big Tech ons voortdurend een rad voor ogen?

Denk aan die reclame van Google waar die mevrouw klikt
en da vervolgens heel snel haar actie ongedaan wenst te maken.
"PHISHING" krijgt zij en de argeloze TV-kijker nu groot in beeld.
Vervolgens is er met mega-letters te lezen ""Vertrouw op Google".

Dank zij deze discussie kijk ik weer anders naar bepaalde zaken.
en zeker naar dit soort TV-recvame.

Het wordt er maar steeds niet beter op.
01-04-2024, 00:01 door Erik van Straten
Zowel [1] als [2] (zie post bovenaan voor URL's) zijn nog live en worden niet geblokkeerd door Google Safe Browsing.

Ik zie wel een verandering: met sommige browsers (Firefox Focus onder Android en Edge onder iOS) stuurt [1] niet door maar toont o.a. de volgende tekst:
Welcome!
Come enjoy the lorem ipsum dolor sit amet, consectetur adipisicing elit, sed do eiusmod [...]

Zo te zien geen verandering (12/93) in https://www.virustotal.com/gui/url/446728c5ec9fad1a5f2b95e5c0df87dc79628c16db706bbef80a507e6697cc78.

Overigens zag ik zojuist dat ESET nog steeds niet aanslaat op [2], maar wél op het IP-adres waarop [2] gehost is, zie https://www.virustotal.com/gui/ip-address/91.215.85.79/detection. Dat kan verklaren waarom de Anonieme ESET-fan zag dat ESET [2] wel detecteerde. Uit die VT-pagina:
BitDefender Phishing
CRDF Malicious
Criminal IP Malicious
CyRadar Malicious
ESET Phishing
Fortinet Phishing
G-Data Phishing
Lionic Malicious
VIPRE Phishing
Webroot Malicious

Ik ga overigens niet verder met de ESET-fan in discussie over hoe nauwkeurig VT is, als indicatie voor een beperkte kans op detectie is VT goed genoeg - en daar gaat het mij om.

Op het zelfde IP-adres als waar [2] op zit, zijn er weer een stel foute sites bijgekomen (zie https://www.virustotal.com/gui/ip-address/91.215.85.79/relations), waaronder:
bit-formulier-467743246[.]com
gegevens-bijwerken-formulier[.]com
updatevereist[.]com
service-tmobile[.]com
vodafone.cancel-request[.]com
applepaywallet-verify[.]com
bij-werken-bun-q-nl[.]com
Van laatstgenoemde is het eerste certificaat afgegeven op 25 maart j.l. (zie https://crt.sh/?q=bij-werken-bun-q-nl.com).

VT daarvan: https://www.virustotal.com/gui/url-analysis/u-28b13f7fe525fc07f7eec7f4bdc61bc113302f5305facf53d7faa845225c8108-1711922380.

https://www.checkjelinkje.nl/check/?u=https://bij-werken-bun-q-nl.com meldt:
Dit hebben we gevonden

Als je de link volgt, kom je waarschijnlijk hier terecht:
https://www.google.com/

Chrome onder Android (via KPN 4G/5G) blijft gewoon op die site en vraagt (net als [2]) om de volgende gegevens (de layout van de pagina is iets anders dan ik hier kan weergeven):
Persoonsgegevens
Voornaam:
Achternaam:

Geboortedatum
Dag:
Maand:
Jaar:

Contactgegevens
E-mailadres:
Adres:
Postcode:
Rekeningnummer (IBAN):
Mobiele nummer (06):
Bedrijfsnaam (optioneel):

         [Bevestigen]

Als je pech hebt (en die kans is, vooral omstreeks feestdagen, groot) laten alle gangbare beveiligingsmaatregelen je simpelweg in de steek.
01-04-2024, 10:56 door Anoniem
Alleen maar phishing en coinbase phishing vanaf dat IP.
Zie: https://www.abuseipdb.com/check/91.215.85.79

en bij VT onder de 6 commentaren lezen we dat ook.

Zie ook voor het ooo domein: https://www.shodan.io/search?query=ooo

En de kwalijke rol van het Amazon help centrum daarbij: https://www.shodan.io/host/91.215.85.79

Zolang men maar niet in de Russische achtertuin "phisht", beweegt er niets daar
en blijft het "gedoogd" worden.
01-04-2024, 18:45 door Anoniem
29-05-2024, 11:46 door Anoniem
Dit Bunq verhaal is nu al een tijdje in het nieuws ik vroeg me af hoe komen ze aan je nummer dan zegt men willekeurig gekozen nummers die ze bellen maar is dat wel zo.

Ik heb nu een paar keer een gast aan de deur gehad van Odido om een afspraak te maken en telkens wil ik geen telefoon nummer geven maar daar blijven ze op hameren. Ik heb mijn email adres aangeboden en bij de laatste werd dat opgeschreven en zou hij het vragen of dat ook goed is.

Later op die dag stond ik met mijn buurman buiten te praten komt die odido gast weer de straat in lopen. Hij zegt tegen mij dat email goed is en gaat vervolgens met mijn buurman praten (80 jaar) en vist daar ook naar zijn telefoonnummer omdat dat de enige manier zou zijn om een afspraak te maken. Ik bemoei me ermee en adviseer hem niet zijn nummer te geven.

Achteraf baal ik dat ik niet naar die gast zijn ID heb gevraagd niet aan gedacht.
Maar vandaag zat ik hieraan te denken die gastjes zijn tig keren aan de deur geweest.

Die fibers steken boven de stoep uit ze zien welke fiber al wel en niet zijn aangesloten. voorheen kwamen kpn én Odido gastjes aan de deur toen kpn aangesloten was, wat ook weer een nachtmerrie op zich was, kwamen uiteraard alleen nog odido bedelaars aan de deur. dat kan totaal onschuldig zijn maar het is wel verdomde handig dat je aan de kleurtjes fiber kan zien welke glasvezel wel en niet zijn aangesloten.

Je kan zo wel een mooi lijstje telefoon nummers verzamelen waar je later een phising sms naar toe kan sturen.
Hoeveel mensen denken er niet aan die ID te vragen en die ook grondig te bestuderen. maar dan nog zou ik mijn nummer niet geven want jan en allemaal kan dat werk doen voor providers en tegelijk die nummers ook zelf houden om er foute dingen mee te doen.
29-05-2024, 19:20 door Erik van Straten
Door Anoniem: Dit Bunq verhaal is nu al een tijdje in het nieuws ik vroeg me af hoe komen ze aan je nummer dan zegt men willekeurig gekozen nummers die ze bellen maar is dat wel zo.
Van steeds meer Nederlanders liggen steeds meer gegevens op straat, alleen al deze week:

https://www.security.nl/posting/842955/Essent+en+Vattenfall+waarschuwen+klanten+voor+datalek+bij+AddComm

https://www.security.nl/posting/843180/AddComm+maakt+afspraak+met+criminelen+om+gestolen+klantdata+te+verwijderen (geen enkele garantie dat de criminelen zich aan deze afspraak zullen houden)

https://www.security.nl/posting/843221/Drinkwaterbedrijf+Dunea+licht+klanten+in+over+ransomware-aanval+AddComm

https://www.security.nl/posting/843363/Malafide+pdf-reader+en+file+manager+in+Play+Store+installeren+bankmalware (als "jouw" bank er niet bij zit, harken ze heus wel zoveel mogelijk gegevens bij elkaar - zoals adresboek, e-mails, chatberichten etc)

https://www.security.nl/posting/843371/Kadaster+lekte+jarenlang+geheime+adressen+burgers+via+MijnOverheid

https://www.security.nl/posting/843414/Celstraf+voor+man+die+foto%E2%80%99s+bekende+Nederlanders+uit+iCloud-accounts+stal (Hij kon niet alleen bij hun foto's)

https://www.security.nl/posting/843443/Criminelen+claimen+diefstal+gegevens+560+miljoen+Ticketmaster-klanten

Niet bij elk datalek worden zowel telefoonnummer als IBAN gelekt, maar er zijn zoveel "breaches" dat gegevens uit verschillende lekken gecombineerd kunnen worden.

Daarnaast kunnen criminelen brutaal zijn als zij alleen een telefoonnummer kennen, of zelfs dat niet: willekeurige mensen kunnen gebeld worden en bijvoorbeeld zeggen: "Met Kees van bunq. Volgens onze gegevens heeft u een rekening bij ons". Als ze ja zeggen kun je verder, en als de gebelde niet meteen zegt "Nee, ik zit bij ING!" kun je vragen bij welke bank dan wel. Die mensen kun je dan een paar weken later door een vriendje laten terugbellen.

Ervan uitgaan dat alleen betrouwbare mensen jouw gegevens kennen, is niet meer van deze tijd en dus onverstandig. Het is erg lastig om vast te stellen of een beller is wie zij of hij zegt te zijn, en niet een bedrieger (bij een AitM is dit nagenoeg onmogelijk, zie "De Chase Case" in https://security.nl/posting/842742 en daarboven "Check het Gesprek" van ING).
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.