Wie trapt er nou in een E-Mail waar met grote rode letters "FAKE" op staat...

Hoera weer een nutteloos bericht. Waarom begrijpen die instanties nu nog steeds decenia later niet dat we IP ranges domeinnaam lijsten en voorbeeld headers nodig hebben om dit soort fratsen tegen te werken ze te rapporteren in de reputatie lijsten als onbetrouwbaar en hun rijkwijdte dusdanig beperken dat ze een nieuwe campagne moeten beginnen.

Ik kan geen beep met de inhoud van een bericht om eindgebruikers te beveiligen het zal vast en zeker keurig geschreven zijn en dan ga je filters enkel trainen met meer false positive informatie. Terwijl als we weten wele domeinen en welk ASN hier bij betrokken is we het op een niveau hoger al weghouden bij de meer naieve eind gebruikers.

ik denk dat je daar wel eens over verrast konen worden hoe mensen zich laten beinvloeden.

Ja leuk, Tom en Jerry spelen! Echter, afhankelijk van wie je bent is dat steeds leuker of steeds mínder leuk.

Bijv. in https://newly-registered-domains.abtdomain.com/2024-09-12-com-newly-registered-domains-part-1/ kun je lezen dat er alleen al gisteren 115.679 nieuwe .com basis-domeinnamen zijn geregistreerd. Bekijk er eens een stel en probeer te bepalen of ze van nepsites of van authentieke websites zijn.

Bovendien zitten steeds meer scamsites achter Cloudflare IP-adressen. Een voorbeeld van eerder deze week, ik kopieer (met kleine edits) uit https://infosec.exchange/@ErikvanStraten/113110017627459641:

De plaatjes daaronder kan ik niet laten zien op deze site.

Die Belgische lîdl site is nog live, niks of niemand waarschuwt en Chrome onder Android laat nog steeds de naam met de î erin zien. Firefox onder Android ook, maar vreemd genoeg niet onder iOS (daarin zie ik de punycode). Daarentegen laten Safari, Chrome en Edge onder iOS weer wel de naam met de î erin zien.

Het IP-adres ervan is 104.21.63.55, of de backup daarvan, 172.67.169.248.

Maar als je die IP-adressen blokkeert, kun je bijvoorbeeld ook geen QR-codes meer scannen die gebruik maken van s.qrlink.nl - zoals het TV-programma Radar afgelopen maandag (https://infosec.exchange/@ErikvanStraten/113109358727150298 liet zien. Een iets afwijkende QR-code (zelfde domeinnaam) kun je ook op hun website vinden: https://radar.avrotros.nl/artikel/via-deze-qr-code-kun-jij-whatsappen-met-radar-60842 (edit 21:18: mogelijk langer te zien in https://archive.is/0tKzC).

Sowieso is het nogal "gezellig" op veel Cloudflare IP-adressen, zie https://www.virustotal.com/gui/ip-address/104.21.63.55/relations. Nb. die "(200)" achter "Passive DNS Replication" is onzin, het zijn véél meer dan 200 domeinnamen. En domeinnamen willen ook nog wel eens verschuiven naar andere IP-adressen van Cloudeflare - die ondertussen enorme hoeveelheden https internetverbindingen MitM'ed.

Géén interesse in wat ik schrijf? Prima! Lees dan vooral NIET https://infosec.exchange/@ErikvanStraten/113130848356837372 (uit een draad). En dus ook niet, uit diezelfde draad, https://infosec.exchange/@ErikvanStraten/113124204291514950 met onderaan een fake online McAfee virusscanner en de download van Windows malware (voor MacOS staat AnyDesk voor je klaar). Ik heb overigens nog veel meer voorbeelden.

Ik krijg elke dag wel dit soort nep berichten (bv. je bent niet veilig, Uw account wordt binnenkort gedeactiveerd., Laatste herinnering!Mogelijk_is_uw_account_opgeschort. Wed, 11 Sep 2024 12:44:47 -0400 (EDT))
Als ik op elk spam/physing email weer een bericht ga ontvangen dat deze nep is, zie ik door de bomen het bos niet meer en is daardoor heel dat bos voor mij als onbetrouwbaar gestempeld. En wordt het zodoende nog moeilijker om de 'ware' berichten eruit te filteren.
Als er dan ook nog 's vaker gehacked wordt en daarmee waardevolle ID informatie gestolen wordt en in zo'n nep-mail deze ID info wordt gebruikt wordt het nog lastiger om de 'ware' mails te identificeren.
Nog maar één keer voorgekomen met een bericht van Bol waar mijn naam -die ik specifiek bij Bol gebruik- in de aanhef werd gebruikt. Echter ontkende Bol dat deze info van hun afkomstig was! Ik trapte er -geukkig- alsnog niet in om goed naar de details te kijken van de mail. Maar als dat steeds geraffineerder wordt, vind ik het verstandig om altijd eerst elk bericht als nep te aanschouwen.

Heb ik zonnepanelen besteld bij firma A en accesoires (kabels enzo) bij firma B word ik de komende weken bespamd met zonnepanelenaanbiedingen en laadpalen. En -sowieso- als ik iets bestel wordt mn inbox elke keer weer beladen met (fedex, postnl, postpostpost, ups, etc) dat mn pakket niet afgeleverd kon worden, of me moet heridentificeren, of wat dan ook wat pakket-gerelateerd is.

Zie totaal geen vooruitgang dat deze (koop-)spam nou is word aangepakt noch dat deze nep-domeinen van deze physers bij bosjes van het i'net worden verwijderd, of het is zo dat ze tegelijkertijd weer bij bosjes aangevraagd kunnen worden.

En dit staat er dus in de waarschuwingsmail!!!!??? Installeer in geen geval een virusscanner!!!
[s]Goed advies jòh![/s] , maakt jouw waarschuwingsmail net zo onbetrouwbaar als de physingmail zelf.