image

Belgische overheid waarschuwt voor malafide e-mail over virusscanner

vrijdag 13 september 2024, 11:29 door Redactie, 5 reacties

De Belgische overheid waarschuwt voor een malafide e-mail die afkomstig lijkt van het Centrum voor Cybersecurity België (CCB) en waarin ontvangers worden opgeroepen een virusscanner te installeren. Volgens de e-mail is 'onmiddellijke actie vereist' en moet de ontvanger 'betrouwbare antivirusbescherming' installeren. Daarbij doet de malafide e-mail voorkomen alsof het om een bericht van het CCB gaat.

"Er doet momenteel een bericht de ronde dat het logo en de naam van het Centrum voor Cybersecurity België (CCB) misbruikt. In het bericht word je aangemoedigd om een virusscanner te downloaden. Doe dit in geen geval. Het is duidelijk een poging tot phishing. Dit bericht is niet afkomstig van het CCB", zo waarschuwt Safeonweb, dat een initiatief van het Centrum voor Cybersecurity België is. Waar de link naartoe wijst laat het overheidsorgaan niet weten.

Image

Reacties (5)
13-09-2024, 13:08 door Anoniem
Wie trapt er nou in een E-Mail waar met grote rode letters "FAKE" op staat...
13-09-2024, 14:32 door Anoniem
Hoera weer een nutteloos bericht. Waarom begrijpen die instanties nu nog steeds decenia later niet dat we IP ranges domeinnaam lijsten en voorbeeld headers nodig hebben om dit soort fratsen tegen te werken ze te rapporteren in de reputatie lijsten als onbetrouwbaar en hun rijkwijdte dusdanig beperken dat ze een nieuwe campagne moeten beginnen.

Ik kan geen beep met de inhoud van een bericht om eindgebruikers te beveiligen het zal vast en zeker keurig geschreven zijn en dan ga je filters enkel trainen met meer false positive informatie. Terwijl als we weten wele domeinen en welk ASN hier bij betrokken is we het op een niveau hoger al weghouden bij de meer naieve eind gebruikers.
13-09-2024, 19:17 door spatieman
Door Anoniem: Wie trapt er nou in een E-Mail waar met grote rode letters "FAKE" op staat...

ik denk dat je daar wel eens over verrast konen worden hoe mensen zich laten beinvloeden.
13-09-2024, 20:48 door Erik van Straten - Bijgewerkt: 13-09-2024, 21:18
Door Anoniem: Waarom begrijpen die instanties nu nog steeds decenia later niet dat we IP ranges domeinnaam lijsten en voorbeeld headers nodig hebben om dit soort fratsen tegen te werken ze te rapporteren in de reputatie lijsten als onbetrouwbaar en hun rijkwijdte dusdanig beperken dat ze een nieuwe campagne moeten beginnen.
Ja leuk, Tom en Jerry spelen! Echter, afhankelijk van wie je bent is dat steeds leuker of steeds mínder leuk.

Bijv. in https://newly-registered-domains.abtdomain.com/2024-09-12-com-newly-registered-domains-part-1/ kun je lezen dat er alleen al gisteren 115.679 nieuwe .com basis-domeinnamen zijn geregistreerd. Bekijk er eens een stel en probeer te bepalen of ze van nepsites of van authentieke websites zijn.

Bovendien zitten steeds meer scamsites achter Cloudflare IP-adressen. Een voorbeeld van eerder deze week, ik kopieer (met kleine edits) uit https://infosec.exchange/@ErikvanStraten/113110017627459641:
Nieuwe IDN (*) phishing, mogelijk gemaakt door Cloudflare en (nog) niet als punycode getoond door Chrome (onder Android):

       punycode: https://xn--ldl-vma[.]be
IDN (unicode): https://lîdl[.]be

Om de folder te bekijken moet je inloggen (de /login pagina).

(*) IDN = Internationalized Domain Name. Dit zijn geen échte domeinnamen, maar Unicode representaties van Punycode. Meer info: https://nl.wikipedia.org/wiki/Internationalized_domain_name.

Chrome zou automatisch ("AI") IDN-phishinglinks moeten herkennen, en in zo'n geval de échte domeinnaam (in punycode) moeten laten zien, zoals het geval is bij https://www.xn--80ak6aa92e.com (dat Firefox, by default, als apple.com laat zien - het IDN alternatief voor de getoonde punycode (deze website is nog steeds van iemand die waarschuwt voor de risico's van IDN's).

Dit risico is één van de redenen waarom het web dringend fatsoenlijke https servercertificaten nodig heeft (zie https://infosec.exchange/@ErikvanStraten/113098063847227309 en vooral (lang!) https://infosec.exchange/@ErikvanStraten/113079966331873386).

#Phishing #Lidl #Cloudflare #Scam

De plaatjes daaronder kan ik niet laten zien op deze site.

Die Belgische lîdl site is nog live, niks of niemand waarschuwt en Chrome onder Android laat nog steeds de naam met de î erin zien. Firefox onder Android ook, maar vreemd genoeg niet onder iOS (daarin zie ik de punycode). Daarentegen laten Safari, Chrome en Edge onder iOS weer wel de naam met de î erin zien.

Het IP-adres ervan is 104.21.63.55, of de backup daarvan, 172.67.169.248.

Maar als je die IP-adressen blokkeert, kun je bijvoorbeeld ook geen QR-codes meer scannen die gebruik maken van s.qrlink.nl - zoals het TV-programma Radar afgelopen maandag (https://infosec.exchange/@ErikvanStraten/113109358727150298 liet zien. Een iets afwijkende QR-code (zelfde domeinnaam) kun je ook op hun website vinden: https://radar.avrotros.nl/artikel/via-deze-qr-code-kun-jij-whatsappen-met-radar-60842 (edit 21:18: mogelijk langer te zien in https://archive.is/0tKzC).

Sowieso is het nogal "gezellig" op veel Cloudflare IP-adressen, zie https://www.virustotal.com/gui/ip-address/104.21.63.55/relations. Nb. die "(200)" achter "Passive DNS Replication" is onzin, het zijn véél meer dan 200 domeinnamen. En domeinnamen willen ook nog wel eens verschuiven naar andere IP-adressen van Cloudeflare - die ondertussen enorme hoeveelheden https internetverbindingen MitM'ed.

Géén interesse in wat ik schrijf? Prima! Lees dan vooral NIET https://infosec.exchange/@ErikvanStraten/113130848356837372 (uit een draad). En dus ook niet, uit diezelfde draad, https://infosec.exchange/@ErikvanStraten/113124204291514950 met onderaan een fake online McAfee virusscanner en de download van Windows malware (voor MacOS staat AnyDesk voor je klaar). Ik heb overigens nog veel meer voorbeelden.
14-09-2024, 11:51 door Anoniem
Ik krijg elke dag wel dit soort nep berichten (bv. je bent niet veilig, Uw account wordt binnenkort gedeactiveerd., Laatste herinnering!Mogelijk_is_uw_account_opgeschort. Wed, 11 Sep 2024 12:44:47 -0400 (EDT))
Als ik op elk spam/physing email weer een bericht ga ontvangen dat deze nep is, zie ik door de bomen het bos niet meer en is daardoor heel dat bos voor mij als onbetrouwbaar gestempeld. En wordt het zodoende nog moeilijker om de 'ware' berichten eruit te filteren.
Als er dan ook nog 's vaker gehacked wordt en daarmee waardevolle ID informatie gestolen wordt en in zo'n nep-mail deze ID info wordt gebruikt wordt het nog lastiger om de 'ware' mails te identificeren.
Nog maar één keer voorgekomen met een bericht van Bol waar mijn naam -die ik specifiek bij Bol gebruik- in de aanhef werd gebruikt. Echter ontkende Bol dat deze info van hun afkomstig was! Ik trapte er -geukkig- alsnog niet in om goed naar de details te kijken van de mail. Maar als dat steeds geraffineerder wordt, vind ik het verstandig om altijd eerst elk bericht als nep te aanschouwen.

Heb ik zonnepanelen besteld bij firma A en accesoires (kabels enzo) bij firma B word ik de komende weken bespamd met zonnepanelenaanbiedingen en laadpalen. En -sowieso- als ik iets bestel wordt mn inbox elke keer weer beladen met (fedex, postnl, postpostpost, ups, etc) dat mn pakket niet afgeleverd kon worden, of me moet heridentificeren, of wat dan ook wat pakket-gerelateerd is.

Zie totaal geen vooruitgang dat deze (koop-)spam nou is word aangepakt noch dat deze nep-domeinen van deze physers bij bosjes van het i'net worden verwijderd, of het is zo dat ze tegelijkertijd weer bij bosjes aangevraagd kunnen worden.

In het bericht word je aangemoedigd om een virusscanner te downloaden. Doe dit in geen geval.
En dit staat er dus in de waarschuwingsmail!!!!??? Installeer in geen geval een virusscanner!!!
[s]Goed advies jòh![/s] , maakt jouw waarschuwingsmail net zo onbetrouwbaar als de physingmail zelf.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.