Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Nieuwe bunq scam
08-05-2024, 12:23 door Erik van Straten, 10 reacties
Mijn vriendin ontving vanochtend de volgende SMS vanaf 06-51448805 (ik heb de punt in de domeinnaam door '•' vervangen om per ongeluk activeren te voorkómen):
Als ik die link open in Firefox (Android) verschijnt een webpagina die er ongeveer uitziet als volgt:
bunq
Verifieer uw telefoonnummer
Bevestig uw aanmelding met uw
beveiligingscode
[ (telefoonnmummer) ]
[ ( ) ( ) ( ) ( ) ( ) ( ) ]
[Volgende]
Waar vind je deze code?
De beveiligingscode bestaat uit
de 6 cijfers van je bunq app.
Als de URL (achter de domeinnaam) niet exact klopt óf als je die site met een niet-Nederlands IP-adres benadert, wordt de browser doorgestuurd naar Google, uit https://www.virustotal.com/gui/url/9acdf5f5b05a653fc3c6dcf0290930c47ae5a18f54ace091694cf7aeefb6dfab/details:
De feitelijke server wordt "aan het zicht onttrokken" door Cloudflare, zoals ook blijkt uit https://www.ssllabs.com/ssltest/analyze.html?d=bevestig-nu.net (klik op een willekeurige van de 4 links).
Opmerkelijk: deze Cloudflare proxies ondersteunen nog TLSv1 en TLSv1.1.
Het DV (Domain Validated) https servercertificaat dat VirusTotal, ssllabs.com in ik ontvingen, is ondertekend door Google. De nepsite heeft ook een (1 jaar geldig) certificaat van Sectigo, zie https://crt.sh/?q=bevestig-nu.net.
Zolang Big Tech meeverdient aan cybercrime (en zij daarom voorstellen om internet veiliger te maken onmiddellijk torpederen), en bedrijven en andere organisaties (ook overheden) maar aanrommelen met domeinnamen, en de digitalisering alleen maar toeneemt terwijl vangnetten worden weggeknipt, lopen doorsnee mensen steeds grotere risico's. Onder meer dat zij al hun spaargeld, of het geld dat zij voor een goed doel beheren, kwijtraken - om daarna (door idioten) voor dom te worden uitgemaakt.
Voor een oplossing zie (Engelstalig) https://infosec.exchange/@ErikvanStraten/112402110488956016.
+31 6 51 44 88 06
[bunq] Voorkom dat uw rekening wordt opgeheven
verifieer uw telefoonnummer :
https://bevestig-nu•net/K8IjL9/1M3k/Ign
verifieer uw telefoonnummer :
https://bevestig-nu•net/K8IjL9/1M3k/Ign
Als ik die link open in Firefox (Android) verschijnt een webpagina die er ongeveer uitziet als volgt:
bunq
Verifieer uw telefoonnummer
Bevestig uw aanmelding met uw
beveiligingscode
[ (telefoonnmummer) ]
[ ( ) ( ) ( ) ( ) ( ) ( ) ]
[Volgende]
Waar vind je deze code?
De beveiligingscode bestaat uit
de 6 cijfers van je bunq app.
Als de URL (achter de domeinnaam) niet exact klopt óf als je die site met een niet-Nederlands IP-adres benadert, wordt de browser doorgestuurd naar Google, uit https://www.virustotal.com/gui/url/9acdf5f5b05a653fc3c6dcf0290930c47ae5a18f54ace091694cf7aeefb6dfab/details:
Redirection chain
https://bevestig-nu.net/ngn/dk/b1/inloggen/Ign
https://google.com
https://bevestig-nu.net/ngn/dk/b1/inloggen/Ign
https://google.com
De feitelijke server wordt "aan het zicht onttrokken" door Cloudflare, zoals ook blijkt uit https://www.ssllabs.com/ssltest/analyze.html?d=bevestig-nu.net (klik op een willekeurige van de 4 links).
Opmerkelijk: deze Cloudflare proxies ondersteunen nog TLSv1 en TLSv1.1.
Het DV (Domain Validated) https servercertificaat dat VirusTotal, ssllabs.com in ik ontvingen, is ondertekend door Google. De nepsite heeft ook een (1 jaar geldig) certificaat van Sectigo, zie https://crt.sh/?q=bevestig-nu.net.
Zolang Big Tech meeverdient aan cybercrime (en zij daarom voorstellen om internet veiliger te maken onmiddellijk torpederen), en bedrijven en andere organisaties (ook overheden) maar aanrommelen met domeinnamen, en de digitalisering alleen maar toeneemt terwijl vangnetten worden weggeknipt, lopen doorsnee mensen steeds grotere risico's. Onder meer dat zij al hun spaargeld, of het geld dat zij voor een goed doel beheren, kwijtraken - om daarna (door idioten) voor dom te worden uitgemaakt.
Voor een oplossing zie (Engelstalig) https://infosec.exchange/@ErikvanStraten/112402110488956016.
Reacties (10)
08-05-2024, 15:46 door
Anoniem
Interessant idd: als je de website opzoekt op scamvoid.com lijkt het een veilige site. Slim is ook dat vooral vertaal sites wr op reageren. Bottom line: een bank zal nooit een mail of sms sturen met een link om iets te bevestigen
08-05-2024, 17:24 door
Erik van Straten
Door Anoniem: Bottom line: een bank zal nooit een mail of sms sturen met een link om iets te bevestigen
Mallerd.Een SMS die ik ontving toen ik een bunq-rekening opende:
5/10/19, 15:38
Nog één stap en je doet mee met
Bank of The Free. Klik op deze
link om je bunq account te voltooien:
https://www.bunq.com/get-it?u=<7cijfers>
Bank of The Free. Klik op deze
link om je bunq account te voltooien:
https://www.bunq.com/get-it?u=<7cijfers>
En een e-mail:
Date: Wed, 23 Sep 2020 10:42:49 +0200
From: "International Card Services" <noreply@service.icscards.nl>
To: verwijderd@xs4all.nl
Subject: Herinnering: u heeft nog 10 dagen om uzelf te identificeren
Kunt u deze e-mail niet goed lezen, bekijk dan de webversie [1].
INTERNATIONAL CARD SERVICES [2]
Voorkom definitieve beëindiging van uw Card(s)
Geachte heer Van Straten,
Zoals we hebben aangegeven in eerdere brieven en e-mails, is uw [productnaam] geblokkeerd omdat u uzelf nog niet geïdentificeerd heeft.
Wilt u uw Card behouden?
Het is nog niet te laat om definitieve beëindiging van uw Card(s) te voorkomen. Wilt u uw Card behouden? Identificeer uzelf dan alsnog. Ga naar www.icscards.nl/id, klik op 'start online identificatie' en volg de stappen. Uw validatiecode is 115447874. Nadat de identificatie succesvol is afgerond, kunt u de Card weer gebruiken.
Identificeert u uzelf niet? Dan beëindigen we de overeenkomst per .
Vragen?
Op www.icscards.nl/wwft vindt u meer informatie. Zowel over de wet 'Wwft', als hoe we onze maatschappij samen veiliger maken. Wilt u rechtstreeks met onze speciale Identificatie-desk bellen? Gebruik dan het volgende telefoonnummer: 020 - 6 600 401. Deze desk is bereikbaar op werkdagen tussen 8.00 en 17.00 uur.
Met vriendelijke groet,
International Card Services BV
Uw Card wordt uitgegeven door International Card Services BV (ICS).
Let op! Ga voorzichtig om met uw persoonlijke gegevens. Medewerkers van ICS zullen nooit naar uw gebruikersnaam, wachtwoord en/of pincode vragen. Niet via e-mail, telefoon of op welke andere manier dan ook.
Dit bericht is verzonden door International Card Services BV, gevestigd aan de Wisselwerking 32 te (1112 XP) Diemen, ingeschreven in het Handelsregister Amsterdam onder nummer 33.200.596.
This message has been sent by International Card Services BV, which has its seat at Wisselwerking 32 (1112 XP) Diemen, the Netherlands, and is registered in the Commercial Register of Amsterdam under number 33.200.596.
MREMED40
23 september 2020
423390
MREMED40
[1] http://service.icscards.nl/mailview/Default.aspx?msg=138543201&cid=MDAwMDQ4MTUyMDIwMDkyMzAwMV8wMDAwMDc1OTAy&ea=RXJpa3ZTMjAxNEB4czRhbGwubmw%3dFrom: "International Card Services" <noreply@service.icscards.nl>
To: verwijderd@xs4all.nl
Subject: Herinnering: u heeft nog 10 dagen om uzelf te identificeren
Kunt u deze e-mail niet goed lezen, bekijk dan de webversie [1].
INTERNATIONAL CARD SERVICES [2]
Voorkom definitieve beëindiging van uw Card(s)
Geachte heer Van Straten,
Zoals we hebben aangegeven in eerdere brieven en e-mails, is uw [productnaam] geblokkeerd omdat u uzelf nog niet geïdentificeerd heeft.
Wilt u uw Card behouden?
Het is nog niet te laat om definitieve beëindiging van uw Card(s) te voorkomen. Wilt u uw Card behouden? Identificeer uzelf dan alsnog. Ga naar www.icscards.nl/id, klik op 'start online identificatie' en volg de stappen. Uw validatiecode is 115447874. Nadat de identificatie succesvol is afgerond, kunt u de Card weer gebruiken.
Identificeert u uzelf niet? Dan beëindigen we de overeenkomst per .
Vragen?
Op www.icscards.nl/wwft vindt u meer informatie. Zowel over de wet 'Wwft', als hoe we onze maatschappij samen veiliger maken. Wilt u rechtstreeks met onze speciale Identificatie-desk bellen? Gebruik dan het volgende telefoonnummer: 020 - 6 600 401. Deze desk is bereikbaar op werkdagen tussen 8.00 en 17.00 uur.
Met vriendelijke groet,
International Card Services BV
Uw Card wordt uitgegeven door International Card Services BV (ICS).
Let op! Ga voorzichtig om met uw persoonlijke gegevens. Medewerkers van ICS zullen nooit naar uw gebruikersnaam, wachtwoord en/of pincode vragen. Niet via e-mail, telefoon of op welke andere manier dan ook.
Dit bericht is verzonden door International Card Services BV, gevestigd aan de Wisselwerking 32 te (1112 XP) Diemen, ingeschreven in het Handelsregister Amsterdam onder nummer 33.200.596.
This message has been sent by International Card Services BV, which has its seat at Wisselwerking 32 (1112 XP) Diemen, the Netherlands, and is registered in the Commercial Register of Amsterdam under number 33.200.596.
MREMED40
23 september 2020
423390
MREMED40
[2] https://www.icscards.nl/
Merk op dat in de mail:
• Letterlijk "[productnaam]" staat;
• Er voor de punt in "Dan beëindigen we de overeenkomst per ." niets staat.
Dit moet dan toch een phishing mail zijn?
Om eventuele twijfel weg te nemen, uit de mail headers:
Authentication-Results: xs4all.nl; spf=pass
smtp.mailfrom=service.icscards.nl; dkim=pass
header.d=service.icscards.nl; dmarc=pass
header.from=service.icscards.nl
Received: from mailserver.service.icscards.nl (mailserver.service.icscards.nl [81.175.104.136])
by mxdrop305.xs4all.net (8.14.9/8.14.9/Debian-xs4all~5) with ESMTP id 08N8gkS5020746
(version=TLSv1/SSLv3 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO)
for <verwijderd@xs4all.nl>; Wed, 23 Sep 2020 10:42:49 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; s=2013rds; d=service.icscards.nl;
h=MIME-Version:Date:Message-ID:Content-Type:Content-Transfer-Encoding:From:To:
Subject;
bh=K//+kgJmUQ3mkBYZrD36dCDCP3Le0tjfv/mDctb1xLU=;
b=QSl8mGp8zyf72TjYG8beEq54AinMd/U0PXC5Uw51HZ8WGlCwIIZwAKPgiL0twlqj2erAarsUlgwe
7Sl/uJndppM/xOw/MRMzCvJzQhHrYvPdztb+Sk+puAFVcSyANLoeN07T+9eAU9wXr0FnJryEop5K
MTVfJfp3PjNUGwXFTUc=
smtp.mailfrom=service.icscards.nl; dkim=pass
header.d=service.icscards.nl; dmarc=pass
header.from=service.icscards.nl
Received: from mailserver.service.icscards.nl (mailserver.service.icscards.nl [81.175.104.136])
by mxdrop305.xs4all.net (8.14.9/8.14.9/Debian-xs4all~5) with ESMTP id 08N8gkS5020746
(version=TLSv1/SSLv3 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO)
for <verwijderd@xs4all.nl>; Wed, 23 Sep 2020 10:42:49 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; s=2013rds; d=service.icscards.nl;
h=MIME-Version:Date:Message-ID:Content-Type:Content-Transfer-Encoding:From:To:
Subject;
bh=K//+kgJmUQ3mkBYZrD36dCDCP3Le0tjfv/mDctb1xLU=;
b=QSl8mGp8zyf72TjYG8beEq54AinMd/U0PXC5Uw51HZ8WGlCwIIZwAKPgiL0twlqj2erAarsUlgwe
7Sl/uJndppM/xOw/MRMzCvJzQhHrYvPdztb+Sk+puAFVcSyANLoeN07T+9eAU9wXr0FnJryEop5K
MTVfJfp3PjNUGwXFTUc=
Overigens heb ik toen "mijn" Visa creditcard, die ik al tientallen jaren had, opgezegd vanwege deze risicovolle (voor mij) onzin.
Ik kan ongetwijfeld nog meer voorbeelden oplepelen, ook recenter, maar dit was wat meteen bij mij opkwam en ik snel kon terugvinden.
Conclusie
Het is dus gewoon niet waar dat geen enkele bank jou nooit zal mailen, SMS'en of bellen en vragen om om specifieke webpagina's te openen; er zijn er die dat wél doen. En zodra je dat weet moet iedereen zeker maar zien te onthouden welke bank wat wel en wat niet doet? En (zelden aangekondigde) veranderingen in hun beleid op dit punt op de voet blijven volgen?
Overigens is het onbeschoft maar gebruikelijk dat Anoniemen niet reageren op mijn reacties op hun reacties. En ook ontkennen dat zij dezelfde Anoniem waren die ik eerder, in een reactie, een vraag stelde, zoals in https://security.nl/posting/839318 (maar die ook jij, of elke andere lezer, hieronder best mag beantwoorden).
08-05-2024, 17:44 door
Anoniem
Mag hopen dat de mails van International Card Services tegenwoordig professioneler in elkaar steken. Bovenstaande heeft echt bijna alle kenmerken van spam.
08-05-2024, 23:44 door
Anoniem
Door Erik van Straten:
Conclusie
Het is dus gewoon niet waar dat geen enkele bank jou nooit zal mailen, SMS'en of bellen en vragen om om specifieke webpagina's te openen; er zijn er die dat wél doen.
Hoe kom je tot die conclusie?Conclusie
Het is dus gewoon niet waar dat geen enkele bank jou nooit zal mailen, SMS'en of bellen en vragen om om specifieke webpagina's te openen; er zijn er die dat wél doen.
Je argumenten zijn gewoon vals:
ISC is gewoon géén bank - maar een credit-card processor.
Bunq is gewoon géén bank - maar opereert middels een EMI (Electronic Money Institution) licentie bij de DNB (De Nederlandsche Bank). Mag zichzelf -op last van DNB- géén bank noemen, hooguit neo-bank.
Terzijde, gezien jij je momentje pakt om persoonlijk frustratie over identificatie af te reageren...
dat identificeren is sowieso geen spontaan idee van ICS, maar kwam vanuit ons democratisch gekozen parlement, die het de minster van economische zaken opdroeg, die dat vervolgens bij de DNB neerlegde, die uiteindelijk ICS voor hun karretje spande.
En ik vermoed dat jouw security georiënteerde brein vast zelf wel kan bedenken wat er gebeurd wanneer ze dat niet doen.
Zo niet, dan bijvoorbeeld o.a. om ongure zaken zoals deze te voorkomen:
https://www.dumpert.nl/zoek/bank?selectedId=100090112_55c005cc
Financiële instellingen zien inderdaad van alles voorbij komen...
Dus inderdaad; sommige verkiezen om niet met jou in discussie te gaan / zijn je liever kwijt dan rijk.
Zij hebben gewoon een opgedragen missie te voltooien, dus als jij moeilijk gaat doen, doen zij makkelijk - sterker: hebben ze geen andere opties dan het account op te moeten heffen.
09-05-2024, 13:28 door
Anoniem
Erik heeft wel gelijk. Werd laatst nog gebeld door ABN bank
en er werd ook op hun webpagina vermeld, dat ze contact met me hadden gezocht.
U bank belt u nooit, is dus een desinfo. .
#laufer
en er werd ook op hun webpagina vermeld, dat ze contact met me hadden gezocht.
U bank belt u nooit, is dus een desinfo. .
#laufer
09-05-2024, 14:15 door
Erik van Straten
Door Anoniem: Je argumenten zijn gewoon vals:
alarmbellen gaan afDoor Anoniem: ISC [...] Bunq is gewoon géén bank [...]
stopt me lezen
09-05-2024, 14:27 door
Anoniem
Door Anoniem:
Bunq is gewoon géén bank - maar opereert middels een EMI (Electronic Money Institution) licentie bij de DNB (De Nederlandsche Bank). Mag zichzelf -op last van DNB- géén bank noemen, hooguit neo-bank.
Bunq is gewoon géén bank - maar opereert middels een EMI (Electronic Money Institution) licentie bij de DNB (De Nederlandsche Bank). Mag zichzelf -op last van DNB- géén bank noemen, hooguit neo-bank.
Bunk heeft een Europese bankvergunning toegekend door De Nederlandsche Bank, en valt daardoor onder het deposito garantiestelsel.
Door Erik van Straten:
Overigens is het onbeschoft maar gebruikelijk dat Anoniemen niet reageren op mijn reacties op hun reacties.
Overigens is het onbeschoft maar gebruikelijk dat Anoniemen niet reageren op mijn reacties op hun reacties.
Nu heb ik je dit al vaker zien bezigen en ik ben één van die anoniemen. Laten we afspreken dat ik hier een account aanmaak op het moment dat mijn VPN actief mag blijven om hier te posten ok? En tot die tijd maak ik hier geen account aan.
09-05-2024, 14:32 door
Anoniem
Dus inderdaad; sommige verkiezen om niet met jou in discussie te gaan / zijn je liever kwijt dan rijk.
Mensen die kritisch denken zijn heel belangrijk voor de maatschappij want zij zijn het die tegen onrecht envoor rechtvaardigheid opkomen en de rest wijzen wat en waarom het verkeerd gaat. En inderdaad daar zijn
veel machthebbers of bazen niet blij mee.
https://cria.school/nl/wat-is-kritisch-denken-en-waarom-moeten-we-het-onderwijzen
09-05-2024, 18:11 door
Erik van Straten
Door Anoniem:
Bunk heeft een Europese bankvergunning toegekend door De Nederlandsche Bank, en valt daardoor onder het deposito garantiestelsel.
Het topic is phishing. Kennelijk heeft Anoniem als oplossing voor het probleem dat de bankrekening van veel mensen geplunderd wordt, we het geen bankrekening meer noemen.Door Anoniem: Bunq is gewoon géén bank - maar opereert middels een EMI (Electronic Money Institution) licentie bij de DNB (De Nederlandsche Bank). Mag zichzelf -op last van DNB- géén bank noemen, hooguit neo-bank.
Bunk heeft een Europese bankvergunning toegekend door De Nederlandsche Bank, en valt daardoor onder het deposito garantiestelsel.
Door Anoniem:
Nu heb ik je dit al vaker zien bezigen en ik ben één van die anoniemen. Laten we afspreken [...]
Goh, je klinkt als mijn ouders (heel lang geleden).Door Erik van Straten: Overigens is het onbeschoft maar gebruikelijk dat Anoniemen niet reageren op mijn reacties op hun reacties.
Nu heb ik je dit al vaker zien bezigen en ik ben één van die anoniemen. Laten we afspreken [...]
Laten we afspreken dat ik anoniemen niet uit elkaar kan houden en dat dit discussies enorm kan bemoeilijken. En dat door het met vertraging (t.g.v. moderatie) verschijnen van anonieme reacties, het er voor andere lezers op kan lijken dat ik niet alle reacties gelezen heb voordat ik ergens op reageerde. Waardoor ik stommer lijk dan de anoniemen die echt niet eerst alles lezen en meteen gaan tikken - want ja, wie waren dat?
Gelukkig wordt dit enigszins gecompenseerd door de kwaliteit en leerzaamheid van de gemiddelde anonieme reactie (niet onverwacht bij authenticiteit == 0 en dus reputatie == 0; je kunt immers "straffeloos" roepen wat je wilt en bent de volgende reactie weer als herboren).
@Redactie: aangezien anoniemen bijdragen niet kunnen wijzigen, lijkt het mij een goed idee om de daardoor gegarandeerd vrije ruimte te gebruiken om (i.p.v. de optionele " - Bijgewerkt: datum, tijd") te vermelden:
" - Geplaatst: datum, tijd".
Door Anoniem: [...] dat ik hier een account aanmaak op het moment dat mijn VPN actief mag blijven om hier te posten ok? En tot die tijd maak ik hier geen account aan.
Wat jij wil, maar dan ken ik niet eens de reputatie van degene die schrijft "Laten we afspreken [...]". Met wie spreek ik dan iets af, en wat is zo'n afspraak waard?Overigens moet je jouw zaakjes wel héél goed voor elkaar hebben als je denkt dat je nu anoniem surft.
09-05-2024, 18:13 door
Erik van Straten
Door Anoniem:
voor rechtvaardigheid opkomen en de rest wijzen wat en waarom het verkeerd gaat. En inderdaad daar zijn
veel machthebbers of bazen niet blij mee.
https://cria.school/nl/wat-is-kritisch-denken-en-waarom-moeten-we-het-onderwijzen
Dank! Dus inderdaad; sommige verkiezen om niet met jou in discussie te gaan / zijn je liever kwijt dan rijk.
Mensen die kritisch denken zijn heel belangrijk voor de maatschappij want zij zijn het die tegen onrecht envoor rechtvaardigheid opkomen en de rest wijzen wat en waarom het verkeerd gaat. En inderdaad daar zijn
veel machthebbers of bazen niet blij mee.
https://cria.school/nl/wat-is-kritisch-denken-en-waarom-moeten-we-het-onderwijzen
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
