Door Anoniem: Waarom begrijpen die instanties nu nog steeds decenia later niet dat we IP ranges domeinnaam lijsten en voorbeeld headers nodig hebben om dit soort fratsen tegen te werken ze te rapporteren in de reputatie lijsten als onbetrouwbaar en hun rijkwijdte dusdanig beperken dat ze een nieuwe campagne moeten beginnen.
Ja leuk, Tom en Jerry spelen! Echter, afhankelijk van wie je bent is dat steeds
leuker of
steeds mínder leuk.
Bijv. in
https://newly-registered-domains.abtdomain.com/2024-09-12-com-newly-registered-domains-part-1/ kun je lezen dat er alleen al gisteren 115.679 nieuwe
.com basis-domeinnamen zijn geregistreerd. Bekijk er eens een stel en probeer te bepalen of ze van nepsites of van authentieke websites zijn.
Bovendien zitten steeds meer scamsites achter Cloudflare IP-adressen. Een voorbeeld van eerder deze week, ik kopieer (met kleine edits) uit
https://infosec.exchange/@ErikvanStraten/113110017627459641:
Nieuwe IDN (*) phishing, mogelijk gemaakt door Cloudflare en (nog) niet als punycode getoond door Chrome (onder Android):
punycode: https://xn--ldl-vma[.]be
IDN (unicode): https://lîdl[.]be
Om de folder te bekijken moet je inloggen (de /login pagina).
(*) IDN = Internationalized Domain Name. Dit zijn geen échte domeinnamen, maar Unicode representaties van Punycode. Meer info:
https://nl.wikipedia.org/wiki/Internationalized_domain_name.
Chrome zou automatisch ("AI") IDN-phishinglinks moeten herkennen, en in zo'n geval de échte domeinnaam (in punycode) moeten laten zien, zoals het geval is bij
https://www.xn--80ak6aa92e.com (dat Firefox, by default, als
apple.com laat zien - het IDN alternatief voor de getoonde punycode (deze website is nog steeds van iemand die waarschuwt voor de risico's van IDN's).
Dit risico is één van de redenen waarom het web dringend fatsoenlijke https servercertificaten nodig heeft (zie
https://infosec.exchange/@ErikvanStraten/113098063847227309 en vooral (lang!)
https://infosec.exchange/@ErikvanStraten/113079966331873386).
#Phishing #Lidl #Cloudflare #Scam
De plaatjes daaronder kan ik niet laten zien op deze site.
Die Belgische
lîdl site is nog live, niks of niemand waarschuwt en Chrome onder Android laat nog steeds de naam met de
î erin zien. Firefox onder Android ook, maar vreemd genoeg niet onder iOS (daarin zie ik de punycode). Daarentegen laten Safari, Chrome en Edge onder iOS weer wel de naam met de
î erin zien.
Het IP-adres ervan is 104.21.63.55, of de backup daarvan, 172.67.169.248.
Maar als je
die IP-adressen blokkeert, kun je bijvoorbeeld ook geen QR-codes meer scannen die gebruik maken van
s.qrlink.nl - zoals het TV-programma Radar afgelopen maandag (
https://infosec.exchange/@ErikvanStraten/113109358727150298 liet zien. Een iets afwijkende QR-code (zelfde domeinnaam) kun je ook op hun website vinden:
https://radar.avrotros.nl/artikel/via-deze-qr-code-kun-jij-whatsappen-met-radar-60842 (edit 21:18: mogelijk langer te zien in
https://archive.is/0tKzC).
Sowieso is het nogal "gezellig" op veel Cloudflare IP-adressen, zie
https://www.virustotal.com/gui/ip-address/104.21.63.55/relations. Nb. die "(200)" achter "Passive DNS Replication" is onzin, het zijn véél meer dan 200 domeinnamen. En domeinnamen willen ook nog wel eens verschuiven naar andere IP-adressen van Cloudeflare - die ondertussen enorme hoeveelheden https internetverbindingen MitM'ed.
Géén interesse in wat ik schrijf? Prima! Lees dan vooral
NIET https://infosec.exchange/@ErikvanStraten/113130848356837372 (uit een draad). En dus
ook niet, uit diezelfde draad,
https://infosec.exchange/@ErikvanStraten/113124204291514950 met onderaan een fake online McAfee virusscanner en de download van Windows malware (voor MacOS staat AnyDesk voor je klaar). Ik heb overigens nog veel meer voorbeelden.