Postbank scam geanalyseerd
Vincent van Scherpenseel heeft een zeer uitgebreide technische analyse uitgevoerd op de phishing mail die afgelopen weekend werd verstuurd uit naam van de Postbank. De lezer wordt stap voor stap door de URLs en scripts geleid die de scammers gebruiken om wachtwoorden en TAN codes te ontfutselen. Overigens lijken de meeste scripts nog steeds te werken hoewel men hier en daar wat redirects heeft aangepast, waarschijnlijk vanwege afsluitingen bij hosting providers.
van die CGI-scripts zou wel interessant zijn.
Wel mag Vincent wat aan zijn Engels doen, want dat is af en
toe echt tenenkrommend. Bijvoorbeeld "...jumps into the eye..."
security measures in place heeft en dat de tokens e.d. van
andere banken beter zijn.
De grap is namelijk dat bij de tokens al aangetoond is dat
ze onveilig zijn, n.l. gevoelig voor The Man in The Middle
aanvallen. En het maffe is dat dat bij de Postbank dus nog niet aangetoond is. (hoewel het m.i. op exact dezelfde manier ook wel kan).
In de basis is het token niet anders dan een TAN-lijst,
beiden genereren een geheime code.
Verder ben ik van mening dat een ID/wachtwoord combinatie
niet echt onder doet voor tokens en vingerafdrukken of wat
dan ook. Natuurlijk kunnen ze afgeluisterd maar dat kan met
tokens en vingerafdrukken ook. Nog sterker, vingerafdrukken zijn helemaal niet te vertrouwen, omdat ze werkelijk overal opzitten, dus als gebruiker van een vingerafdruk als wachtwoord, laat je dat wachtwoord overal achter.
Het enige wat echt serieus helpt is een certificaat, maar
dat gaat de meeste banken nog te ver.
ja, ja, en ik heb ook postbankrekening, dus daar hoeft niet
op gereageerd te worden. ;-)
frits
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
tan code per transactie. Dus iemand die kwaad wil heeft m'n
username, password en toegang tot m'n sms verkeer nodig, of
zie ik dat verkeerd?
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
Wie kan iets met deze technische publicatie..?
maar de vraag is dan wel, hoe zij dan deze phishing in elkaar konden
zetten. Daarvoor moet je op z'n minst de postbanksite kunnen lezen en
weten wat je moet vragen om deze informatie te misbruiken.
Raadselachtig is het daarom dat de phishing-mails in het Engels zijn
gesteld en niet in het Nederlands.
Maar misschien heeft iemand nog meer ideeën?
Ik vraag me af of het zo onveilig is. Ik krijg een sms met
tan code per transactie. Dus iemand die kwaad wil heeft m'n
username, password en toegang tot m'n sms verkeer nodig, of
zie ik dat verkeerd?
Ja, maar als zou men de signalen aftappen, dan hebben ze er nog niets
aan aangezien de TAN-codes na invoer direct onbruikbaar worden.
worden overgenomen,
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
through obscurity.
phishers gebruiken om hun slachtoffers zover te krijgen een
bepaalde actie uit te voeren. 't Is puur ter leering ende
vermaeck.
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Nee hoor, helemaal geen spullen achter mijn naam.
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Nee hoor, helemaal geen spullen achter mijn naam.
Wat is er mis met CISSP?
Wel grappig dat Vincent vertelt dat de Postbank de slechtste
security measures in place heeft en dat de tokens e.d. van
andere banken beter zijn.
De grap is namelijk dat bij de tokens al aangetoond is dat
ze onveilig zijn, n.l. gevoelig voor The Man in The Middle
aanvallen........
Gewoon maninthemiddle.exe downloaden en dan ben je klaar. Enig idee
hoe moeilijk het is om zo'n aanval uit te voeren.
spammen in het Engels zegt al genoeg over het nivo. Daar heb je geen
enkele "technische" analyse bij nodig.
Wat veel intressanter is buiten naar welke site het in Rusland wijst is waar
de source host van deze spam zich bevind, immers de KLPD zie ik geen
inval doen in Rusland en de Russische autoriteiten zullen wel wat beters
te doen hebben dan een website downbrengen.... Zoals miljardairs
oppakken enzo.
Wel mag Vincent wat aan zijn Engels doen, want dat is af en
toe echt tenenkrommend. Bijvoorbeeld "...jumps into the
eye..."[/quote]Ja, maar Vincent is een Rastakid!
Je vroeg je af wat RCVD_IN_LSORBS betekende.
RCVD_IN_LSORBS is een custom made tag van wanadoo en betekent dat
hij in de lijst van sorbs voorkomt als Dynamic IP, Proxy, Relay ,Spam
Sender, Vulnerabil PC of Zombie Netblock.
In dit geval is de 68.200.8.132 een Dynamic IP.
Ze hebben inmiddels wel de redirect (http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru) zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Aan de headers van de mail te zien lijkt de phishing mail
(HTML.Phishing.Bank-1(ClamAV)) verstuurd te worden door een van de
mytob virussen.
Het gebruik van img10.cgi script is ook niet onbekend en al veelvuldig
gesignaleerd in pishing sites. Het verbaast me dan ook niet als deze site
het resultaat zou zijn van een
[url=http://www.sophos.com/spaminfo/articles/diyphishing.html]phishing
toolkit[/url] waar Sophos vorig jaar al over berichte.
Ze hebben inmiddels wel de redirect
(http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru)
zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Zal misschien aan mijn config liggen maar als ik die link
volg kom ik, volgens mij, toch echt op de echte postbank
site uit.
Frits,
Je bent een echte security expert.... alleen stiekem hoop ik
wel dat je geen CISSP oid. achter je naam hebt.
Nee hoor, helemaal geen spullen achter mijn naam.
Wat is er mis met CISSP?
Ze zeggen dat het moeilijk is en niet voor de europese markt.
Maar ik ga het as zaterdag uittesten want dan is mijn
exaemen.....
worden overgenomen,
verbeterd en opnieuw worden ingezet...
Slecht voorbeeld doet slecht volgen...
through obscurity.
je zegt het alsof het iets slechts is
Ze hebben inmiddels wel de redirect
(http://dlkrexae.nm.ru) afgesloten
maar niet de orginele site (http://hkschfo.da.ru)
zodat die vanmiddag om
13:01 uur al weer een redirect gaf naar een nieuwe site
(http://mvuiorud.mail15.com)
Zal misschien aan mijn config liggen maar als ik die link
volg kom ik, volgens mij, toch echt op de echte postbank
site uit.
postbank wordt alleen getoond om het betrouwbaarder te laten lijken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.