MSN kerstkaart in het Nederlands: Phishing-alarm!!
27-12-2010,00:47 door
Dag mede-security-nerds ;-),
Ik heb dit kerstweekend al vijf enorm goed gemaakte kerstberichtjes gekregen. Ze leken rechtstreeks van het e-mail adres van vrienden te komen. Met in de mails een link, zogezegd naar een e-card dienst van msn!
Voorbeeld:
Wat op het eerste zicht heel opmerkelijk is:
- Ik heb drie mails aangekregen, telkens met een andere tekst!
- Ze kennen de voornaam van mijn vrienden, niet enkel wat voor het @-teken staat van hun e-mail adres!
- Ze waren telkens zeer netjes geschreven in het Nederlands!!! Of nog straffer, in het Vlaams ("Ikke wel").
*** VERDER ONDERZOEK ***
Verder whois onderzoek levert dit op:
- De domeinnamen (http://www.msnfijnekerst.com/ http://www.msnmetkerst.com/ http://www.msnspecialekerst.com/ enz.) zijn allen geregistreerd op een id met "RU" er in. (Lees: geregistreerd door Russen.)
- De domeinnamen zijn tijdens het kerstweekend aangemaakt
- De IP-adressen van de nameservers zitten in een bekend crimineel Rusische subnet (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL68370)
- Het adres van de registreerder van de domeinnamen verandert telkens, het enige gemaanschappelijke van de domeinnamen zijn de nameservers.
- Als je de ip-adressen van de nameservers van het domein opzoekt in google, kom je wel wat oudere gevallen tegen van phising met die Russische ip-adressen.
Dit zijn de nameservers:
Name Server: ns1.msnspecialekerst.com 92.241.190.64
Name Server: ns2.msnspecialekerst.com 92.241.190.124
Name Server: ns3.msnspecialekerst.com 92.241.190.218
Verder broncode onderzoek levert dit op:
- Er wordt een javascript automatisch geladen bij het openen van de pagina, zie code beneden.
- Ajax, ActiveX en php (beperkt waarschijnlijk) worden gebruikt in het script.
- De eigenlijke url wordt direct veranderd in je browser naar http://www.msnjouwkerstkaart.com//. De eerste twee functies van het javascript hierboven zorgen hiervoor.
- In de laatste twee functies van het javascript wordt ActiveX gebruikt, maar op de eigenlijk site zie ik geen ActiveX, maar wel Flash. (= verdacht). Is er iemand die weet wat de functies doen?
De code:
function init() {
ajaxLoadURL('./hm-cw-inc/getContent.php?page=init&code=' + getUrlParameter('code') + '&refer=' + getUrlParameter('refer') + '&name=' + getUrlParameter('name'), "pageContent", "inject")
}
function getUrlParameter(name) {
name = name.replace(/[\[]/,"\\\[").replace(/[\]]/,"\\\]");
var regex = new RegExp( "[\\?&]"+name+"=([^&#]*)" );
var results = regex.exec( window.location.href );
return ( results == null ) ? "" : results[1];
}
function ajaxLoadURL(url, div, callback) {
var xmlhttp;
if (window.XMLHttpRequest) {
xmlhttp = new XMLHttpRequest();
} else if (window.ActiveXObject) {
xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
}
if (xmlhttp) {
xmlhttp.onreadystatechange=function() {
if (xmlhttp.readyState == 4) {
if (callback == "inject") {
callbackDivinject(div, xmlhttp.responseText);
}
}
}
xmlhttp.open("GET", url, true);
xmlhttp.send(null);
}
}
function callbackDivinject(div, content) {
o = document.getElementById(div);
if (o) {
o.innerHTML = content;
}
}
Verder onderzoek van de website levert dit op:
- Je komt op een website waar je je GSM-nummer moet ingeven voor een kerstkaart te zien. Maar ondertussen schrijf je je in voor een zeer dure abonnement-service!!
- Op een heel doordachte manier staan er nog kleine lettertjes op de website, onder de flash-applicatie! Je ziet de kleine lettertjes standaard niet, er is zelfs geen scrollbalk om er naar te scrollen! De kleine lettertjes zitten in een iframe, waarom weet ik nog niet. Iemand wel? Misschien heeft het te maken met de manier waarop ze ervoor zorgen dat er geen scrolbalk te zien is.
- In de url van de website kan je het belangrijkste stuk van je eigen e-mail adres zien en een code. In de code zit waarschijnlijk een koppeling naar jouw e-mail adres en dat van jouw vriend. De url: http://www.msnjouwkerstkaart.com//?kaart=419928&code=[nummer]&name=[naam van vriend]&refer=[helft van mijn e-mail adres = wat voor het @-teken staat].msnspecialekerst.com
Kleine letterjes in een onzichtbaar iFrame:
Deze betaalde abonnementsdienst wordt aangegaan voor onbepaalde tijd. Kosten voor deze dienst bedragen € 24.00 per week en worden geincasseerd via 6 wekelijkse berichten a € 2,00. Er geldt geen verzakingsrecht. Stoppen? Opzeggen kan zonder opzegtermijn, sms STOP naar 9911. Je dient minimaal 18 jaar te zijn of toestemming te hebben van ouder(s) of voogd.
GripLO Interactive Media Limited - Suite 102, Blake Building, Ground Floor, Corner Ayer and Hudson - Belize City te Belize. Registration id / vat: 87889.
Contact: be@griplo.com of bel +31 20 8946191. Aanmelden voor de dienst betekent acceptatie van de algemene voorwaarden. GripLO werkt volgens de GOF richtlijnen voor SMS-diensten.
GripLO | Algemene Voorwaarden | Privacy Beleid | FAQ | Contact
Verder onderzoek van de e-mail header levert dit op:
- De e-mails worden wel degelijk van de servers van Hotmail verstuurd (http://www.maxmind.com/app/locate_demo_ip?ips=65.55.34.199)
- Je kan in het veld "X-Originating-IP:" zien van welk IP-adres de e-mail wordt verstuurd. Dit zijn niet de ip-adressen van mijn vrienden. (http://www.maxmind.com/app/locate_demo_ip?ips=87.118.101.175).
- Het zou wel eens kunnen dat de IP-adressen van geïnfecteerde user-PCs die als SPAM-robot of dergelijke worden ingeschakeld. [UPDATE: Door bitwiper weten we nu dat de IP-adressen, adressen van het tor-netwerk zijn!]
De e-mail header:
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==
X-Message-Status: n
X-SID-PRA: [e-mail adres en volledige naam van een vriend]
X-SID-Result: Pass
X-AUTH-Result: PASS
X-Message-Info: 6sSXyD95QpWsXcX6WbkOEnOq3S+LnohJeg7bfar/Jqo48HDr5i+WrEP2zxCspxoUdOl9jj5UCJJZPdtowgj/sujs21PSppr9PhCgpRR2DDi1mSky9/mNDA==
Received: from col0-omc4-s16.col0.hotmail.com ([65.55.34.218]) by col0-hmmc2-f1.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 26 Dec 2010 00:20:23 -0800
Received: from COL118-W63 ([65.55.34.199]) by col0-omc4-s16.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 26 Dec 2010 00:20:22 -0800
Message-ID: <COL118-W6305DBAB1F57F3ED42D7ABB31F0@phx.gbl>
Return-Path: [e-mail adres van een vriend]
Content-Type: multipart/alternative;
boundary="_b21a1ea5-06a1-42e7-bb57-ddf6ef9aa681_"
X-Originating-IP: [87.118.101.175]
From: [e-mail adres en volledige naam van een vriend]
To: [Mijn e-mail adres]
Subject: Een hele bijzondere tweede kerstavond gewenst namens mij
Date: Sun, 26 Dec 2010 09:20:23 +0100
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 26 Dec 2010 08:20:22.0952 (UTC) FILETIME=[BDCD2A80:01CBA4D5]
*** SLACHTOFFER? ***
Hoe ben je zelf de spammer geworden?
Ik heb reeds drie (op een dag) zeer vergelijkbare mails aangekregen van een andere phising site waar je je hotmailadres en wachtwoord moet ingeven. Grote kans dat de slachtoffers (onder meer) hun hier hebben laten vangen.
Hier is de phising-link: http://www.msnpicturenet.com//?rcpt=test@hotmail.com&refer=test.msnimagetube.com
Als je vele post delivery failure mails aankrijgt zonder dat je zelf bewust mails naar die personen hebt gestuurd weet je dat je slachtoffer bent geworden.
Hoe ervoor zorgen dat je geen slachtoffer meer bent?
Je e-mail adres stuurt de spam uit: Het is moeilijk om te testen of dit een oplossing is op lange termijn, maar je probleem is hoogstwaarschijnlijk opgelost als je gewoon je hotmail wachtwoord verandert!
Je ontvangt de smsen: Dit is niet uitgetest of dit werkt maar officieel moet je STOP smsen naar 9911. (Laat gerust weten als je dit uittest)
Als je zaken ziet die volgens jou niet kloppen in mijn analyse, laat het gerust weten (liefst met onderbouwde uitleg)! Post hier gerust jouw domeinnamen.
Ik heb dit kerstweekend al vijf enorm goed gemaakte kerstberichtjes gekregen. Ze leken rechtstreeks van het e-mail adres van vrienden te komen. Met in de mails een link, zogezegd naar een e-card dienst van msn!
Voorbeeld:
Hey.
Heb jij een fijne eerste kerst dag gehad? Ikke wel :) En het is nu al bijna 2011... gaat echt snel zeg
Speciaal voor jou heb ik een online kerst kaart gemaakt om je het allerbeste te wensen voor 2011.
Het bekijken van me kerst creatie kan op: http://www.msnspecialekerst.com/?kaart=176630
Ik hoop dat 2011 voor je echt een leuk jaar gaat worden!
Gr. [de voornaam van een vriend]
Heb jij een fijne eerste kerst dag gehad? Ikke wel :) En het is nu al bijna 2011... gaat echt snel zeg
Speciaal voor jou heb ik een online kerst kaart gemaakt om je het allerbeste te wensen voor 2011.
Het bekijken van me kerst creatie kan op: http://www.msnspecialekerst.com/?kaart=176630
Ik hoop dat 2011 voor je echt een leuk jaar gaat worden!
Gr. [de voornaam van een vriend]
Wat op het eerste zicht heel opmerkelijk is:
- Ik heb drie mails aangekregen, telkens met een andere tekst!
- Ze kennen de voornaam van mijn vrienden, niet enkel wat voor het @-teken staat van hun e-mail adres!
- Ze waren telkens zeer netjes geschreven in het Nederlands!!! Of nog straffer, in het Vlaams ("Ikke wel").
*** VERDER ONDERZOEK ***
Verder whois onderzoek levert dit op:
- De domeinnamen (http://www.msnfijnekerst.com/ http://www.msnmetkerst.com/ http://www.msnspecialekerst.com/ enz.) zijn allen geregistreerd op een id met "RU" er in. (Lees: geregistreerd door Russen.)
- De domeinnamen zijn tijdens het kerstweekend aangemaakt
- De IP-adressen van de nameservers zitten in een bekend crimineel Rusische subnet (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL68370)
- Het adres van de registreerder van de domeinnamen verandert telkens, het enige gemaanschappelijke van de domeinnamen zijn de nameservers.
- Als je de ip-adressen van de nameservers van het domein opzoekt in google, kom je wel wat oudere gevallen tegen van phising met die Russische ip-adressen.
Dit zijn de nameservers:
Name Server: ns1.msnspecialekerst.com 92.241.190.64
Name Server: ns2.msnspecialekerst.com 92.241.190.124
Name Server: ns3.msnspecialekerst.com 92.241.190.218
Verder broncode onderzoek levert dit op:
- Er wordt een javascript automatisch geladen bij het openen van de pagina, zie code beneden.
- Ajax, ActiveX en php (beperkt waarschijnlijk) worden gebruikt in het script.
- De eigenlijke url wordt direct veranderd in je browser naar http://www.msnjouwkerstkaart.com//. De eerste twee functies van het javascript hierboven zorgen hiervoor.
- In de laatste twee functies van het javascript wordt ActiveX gebruikt, maar op de eigenlijk site zie ik geen ActiveX, maar wel Flash. (= verdacht). Is er iemand die weet wat de functies doen?
De code:
function init() {
ajaxLoadURL('./hm-cw-inc/getContent.php?page=init&code=' + getUrlParameter('code') + '&refer=' + getUrlParameter('refer') + '&name=' + getUrlParameter('name'), "pageContent", "inject")
}
function getUrlParameter(name) {
name = name.replace(/[\[]/,"\\\[").replace(/[\]]/,"\\\]");
var regex = new RegExp( "[\\?&]"+name+"=([^&#]*)" );
var results = regex.exec( window.location.href );
return ( results == null ) ? "" : results[1];
}
function ajaxLoadURL(url, div, callback) {
var xmlhttp;
if (window.XMLHttpRequest) {
xmlhttp = new XMLHttpRequest();
} else if (window.ActiveXObject) {
xmlhttp = new ActiveXObject("Microsoft.XMLHTTP");
}
if (xmlhttp) {
xmlhttp.onreadystatechange=function() {
if (xmlhttp.readyState == 4) {
if (callback == "inject") {
callbackDivinject(div, xmlhttp.responseText);
}
}
}
xmlhttp.open("GET", url, true);
xmlhttp.send(null);
}
}
function callbackDivinject(div, content) {
o = document.getElementById(div);
if (o) {
o.innerHTML = content;
}
}
Verder onderzoek van de website levert dit op:
- Je komt op een website waar je je GSM-nummer moet ingeven voor een kerstkaart te zien. Maar ondertussen schrijf je je in voor een zeer dure abonnement-service!!
- Op een heel doordachte manier staan er nog kleine lettertjes op de website, onder de flash-applicatie! Je ziet de kleine lettertjes standaard niet, er is zelfs geen scrollbalk om er naar te scrollen! De kleine lettertjes zitten in een iframe, waarom weet ik nog niet. Iemand wel? Misschien heeft het te maken met de manier waarop ze ervoor zorgen dat er geen scrolbalk te zien is.
- In de url van de website kan je het belangrijkste stuk van je eigen e-mail adres zien en een code. In de code zit waarschijnlijk een koppeling naar jouw e-mail adres en dat van jouw vriend. De url: http://www.msnjouwkerstkaart.com//?kaart=419928&code=[nummer]&name=[naam van vriend]&refer=[helft van mijn e-mail adres = wat voor het @-teken staat].msnspecialekerst.com
Kleine letterjes in een onzichtbaar iFrame:
Deze betaalde abonnementsdienst wordt aangegaan voor onbepaalde tijd. Kosten voor deze dienst bedragen € 24.00 per week en worden geincasseerd via 6 wekelijkse berichten a € 2,00. Er geldt geen verzakingsrecht. Stoppen? Opzeggen kan zonder opzegtermijn, sms STOP naar 9911. Je dient minimaal 18 jaar te zijn of toestemming te hebben van ouder(s) of voogd.
GripLO Interactive Media Limited - Suite 102, Blake Building, Ground Floor, Corner Ayer and Hudson - Belize City te Belize. Registration id / vat: 87889.
Contact: be@griplo.com of bel +31 20 8946191. Aanmelden voor de dienst betekent acceptatie van de algemene voorwaarden. GripLO werkt volgens de GOF richtlijnen voor SMS-diensten.
GripLO | Algemene Voorwaarden | Privacy Beleid | FAQ | Contact
Verder onderzoek van de e-mail header levert dit op:
- De e-mails worden wel degelijk van de servers van Hotmail verstuurd (http://www.maxmind.com/app/locate_demo_ip?ips=65.55.34.199)
- Je kan in het veld "X-Originating-IP:" zien van welk IP-adres de e-mail wordt verstuurd. Dit zijn niet de ip-adressen van mijn vrienden. (http://www.maxmind.com/app/locate_demo_ip?ips=87.118.101.175).
- Het zou wel eens kunnen dat de IP-adressen van geïnfecteerde user-PCs die als SPAM-robot of dergelijke worden ingeschakeld. [UPDATE: Door bitwiper weten we nu dat de IP-adressen, adressen van het tor-netwerk zijn!]
De e-mail header:
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtTQ0w9NA==
X-Message-Status: n
X-SID-PRA: [e-mail adres en volledige naam van een vriend]
X-SID-Result: Pass
X-AUTH-Result: PASS
X-Message-Info: 6sSXyD95QpWsXcX6WbkOEnOq3S+LnohJeg7bfar/Jqo48HDr5i+WrEP2zxCspxoUdOl9jj5UCJJZPdtowgj/sujs21PSppr9PhCgpRR2DDi1mSky9/mNDA==
Received: from col0-omc4-s16.col0.hotmail.com ([65.55.34.218]) by col0-hmmc2-f1.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 26 Dec 2010 00:20:23 -0800
Received: from COL118-W63 ([65.55.34.199]) by col0-omc4-s16.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 26 Dec 2010 00:20:22 -0800
Message-ID: <COL118-W6305DBAB1F57F3ED42D7ABB31F0@phx.gbl>
Return-Path: [e-mail adres van een vriend]
Content-Type: multipart/alternative;
boundary="_b21a1ea5-06a1-42e7-bb57-ddf6ef9aa681_"
X-Originating-IP: [87.118.101.175]
From: [e-mail adres en volledige naam van een vriend]
To: [Mijn e-mail adres]
Subject: Een hele bijzondere tweede kerstavond gewenst namens mij
Date: Sun, 26 Dec 2010 09:20:23 +0100
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 26 Dec 2010 08:20:22.0952 (UTC) FILETIME=[BDCD2A80:01CBA4D5]
*** SLACHTOFFER? ***
Hoe ben je zelf de spammer geworden?
Ik heb reeds drie (op een dag) zeer vergelijkbare mails aangekregen van een andere phising site waar je je hotmailadres en wachtwoord moet ingeven. Grote kans dat de slachtoffers (onder meer) hun hier hebben laten vangen.
Hier is de phising-link: http://www.msnpicturenet.com//?rcpt=test@hotmail.com&refer=test.msnimagetube.com
Als je vele post delivery failure mails aankrijgt zonder dat je zelf bewust mails naar die personen hebt gestuurd weet je dat je slachtoffer bent geworden.
Hoe ervoor zorgen dat je geen slachtoffer meer bent?
Je e-mail adres stuurt de spam uit: Het is moeilijk om te testen of dit een oplossing is op lange termijn, maar je probleem is hoogstwaarschijnlijk opgelost als je gewoon je hotmail wachtwoord verandert!
Je ontvangt de smsen: Dit is niet uitgetest of dit werkt maar officieel moet je STOP smsen naar 9911. (Laat gerust weten als je dit uittest)
Als je zaken ziet die volgens jou niet kloppen in mijn analyse, laat het gerust weten (liefst met onderbouwde uitleg)! Post hier gerust jouw domeinnamen.
Laatst gewijzigd:
28-12-2010,
13:49
