Hadden we voor die phishingpagina al een takedown verzoek gedaan? Iedereen roept phishing, maar wie onderneemt actie om de link asap offline te krijgen?

Jup, oa. DigiD is daar eveneens gevoelig voor met hun onveilige 2FA SMSjes... Dan gaan criminelen allerlei phishingtroep sturen "in de naam van".
Ik wou dat ik mijn Yubikey of offline 2FA app kon gebruiken, maar nee, kunnen ze niet. Mederlandse kwaliteit beveiliging.
Maar staat binnenkort toch in Amerikaanse cloud en dus bij de NSA, dus wat maakt het ook uit...

Bel jij even ;-)

Er is niets mee als je op een pc inlogt bij DigiD en dan een code per SMS op je telefoon krijgt.
Beter dan een extra app op je telefoon.
Dit staat los van phishing berichten.

Doen alsof je van de hoed en de rand weet en dan toch er zo verschrikkelijk naast zitten. "Nederlandse cloud en dus bij de NSA". DigiD wordt ontwikkeld en beheerd door Logius, een agentschap van BZK. Voor het technisch beheer wordt gebruyik gemaakt van de diensten van Solvinity, een bedrijf dat een overnamebod heeft gekregen van Kyndryl. Data en datatransport is beveiligd.

De phishingsite werkt niet. Kennelijk heeft de hoster die eraf gegooid.

Dat heeft nauwelijks zin. Sowieso schieten nieuwe nepsites als paddenstoelen uit de grond en hufterbedrijven zoals Cloudflare reageren traag of niet op takedown requests.

Daarnaast stikt het van de "bulletproof" hosters. Bijv. Mezohost lijkt voortdurend van eigenaar en AS-nummer te wisselen (terwijl, volgens Virustotal, de servers in NL blijven staan); zij lachen om take down requests.

Voorbeeld: mijn-kpn[.]info (druk op de screenshots onderaan https://todon.nl/@ErikvanStraten/115323922859027525) bleef ongebruikelijk lang live (zie https://security.nl/posting/909911).

Ook in 2021 was die site live (hoogstwaarschijnlijk ook voor phishing), en op dit moment lijkt de site achter die domeinnaam niet direct kwaadaardig meer doordat deze bij een domeinnaamboer is geparkeerd (screenshot onderaan https://todon.nl/@ErikvanStraten/116189498622589640).

Nb. het aantal virusscanners dat die domeinnaam als kwaadaardig zag was 3 dagen geleden met 16/94 hoger dan ooit, momenteel 15/94 (https://virustotal.com/gui/domain/mijn-kpn.info). Mosterd na de maaltijd van september. Over een paar jaar, zodra deze domeinnaam is "witgewassen" (niet meer als kwaadaardig wordt gezien door virusscanners en blocklists) wordt het wéér een phishing site. Dweilen met de kraan open.

Het probleem blijft hetzelfde als je een nep-DigiD site geopend hebt in jouw browser. Als je daar met gebruikersnaam, wachtwoord en code (via SMS ontvangen of uit een "offline app") op inlogt, kan de eigenaar van die nepsite met die gegevens, als jou, inloggen op de echte DigiD site.

Screenshot van zo'n nep DigiD-site: https://todon.nl/@ErikvanStraten/116156214445982567 (zie de rest van die draad voor meer screenshots). Naar dezelfde server waarop inloggen-mijn-dienst[.]com actief was, verwees kort daarna ook de domeinnaam inloggen-mijn-belastingdienst[.]com - maar daar heb ik nog geen werkende site van gezien (zie het Relations tabblad van https://virustotal.com/gui/ip-address/45.95.169.18).

-
dat zei ik al 3 jaar terug. maar in de tussentijd hoor je er niet veel over;

Wie zegt dat dit niet al lang gedaan is? De criminelen gebruiken echt niet steeds dezelfde domeinnaam. Tegen de tijd dat er een waarschuwing uit gaat, zal de naam alweer anders zijn. Daarom kun je alleen in zijn algemeenheid waarschuwen voor dit fenomeen.

RCS..... asjemenou