Nieuws
image

Postbank slachtoffer phishing mail

zaterdag 4 juni 2005, 16:10 door Redactie, 6 reacties

Op dit moment krijgen veel internetters een valse, engelstalige, e-mail die van de Postbank afkomstig lijkt. Bij het bezoeken van de link in de e-mail wordt de gebruiker een site voorgeschoteld die lijkt op de website van de Postbank. Uiteraard wordt vervolgens om rekeninggegevens en wachtwoorden gevraagd. Indien deze ook daadwerkelijk worden achtergelaten is de kans groot dat de rekening wordt geplunderd door de phishers.
De Postbank waarschuwt overigens al geruime tijd in opvallende rode letters op de inlogpagina dat er nooit per e-mail om inloggevens gevraagd wordt. Inmiddels heeft de bank ook nog een extra waarschuwing op haar site gezet.

(de waarschuwingsdienst, Security.nl forum)

Reacties (6)
04-06-2005, 21:31 door G-Force
Voorlopig deze scam aangemeld bij SpamCop, zodat ie op de zwarte lijst
terecht komt. Netcraft wilde tot nu toe deze site niet opnemen in de toolbar.

De scam werd kennelijk gegenereerd vanuit het onderstaande IP-adres: 71.100.4.88. Het betreffende IP-adres wordt overigens wel geblokkeerd door de Netcraft toolbar.
===========================================================

Parsing header:


Received: from pool-71-100-4-88.tampfl.dsl-w.verizon.net (pool-71-100-4-88.tampfl.dsl-w.verizon.net [71.100.4.88]) by mxdrop42.xs4all.nl (8.13.3/8.13.3) with SMTP id j547Pwbr079505 for <x>; Sat, 4 Jun 2005 09:26:06 +0200 (CEST) (envelope-from CatarinaBuhrkuhl@postbank.nl)
71.100.4.88 found
host 71.100.4.88 = pool-71-100-4-88.tampfl.dsl-w.verizon.net. (cached)
pool-71-100-4-88.tampfl.dsl-w.verizon.net. is 71.100.4.88
Possible spammer: 71.100.4.88
71.100.4.88 is not an MX for pool-71-100-4-88.tampfl.dsl-w.verizon.net
host pool-71-100-4-88.tampfl.dsl-w.verizon.net (checking ip) = 71.100.4.88
Received line accepted

Tracking message source: 71.100.4.88:
Routing details for 71.100.4.88
[refresh/show] Cached whois for 71.100.4.88 : abuse@verizon.net
Using abuse net on abuse@verizon.net
abuse net verizon.net = abuse@verizon.net
Using best contacts abuse@verizon.net
Message is 12 hours old
71.100.4.88 not listed in dnsbl.njabl.org
71.100.4.88 not listed in dnsbl.njabl.org
71.100.4.88 listed in cbl.abuseat.org ( 127.0.0.2 )
71.100.4.88 is an open proxy
71.100.4.88 not listed in accredit.habeas.com
71.100.4.88 not listed in plus.bondedsender.org
71.100.4.88 not listed in iadb.isipp.com

Finding links in message body
no links found
04-06-2005, 22:30 door Bitwiper
Peter, de phishing spam die jij ontvangen hebt is,
als bovenstaande headers kloppen, inderdaad verzonden vanaf
71.100.4.88.

Als je email headers kunt lezen zie je zo dat de zendende
host pool-71-100-4-88.tampfl.dsl-w.verizon.net was
(bevestigd door de reverse loopkup van xs4all). Dat is een
(A)DSL PC in Tampa, Florida (en dat ligt niet in Zuidoost
Azië). Verizon is een van de de grotere ISP's in de USA (met
voortdurend grote aantallen spammende PC's van haar klanten).

Prima dat je deze PC bij spamcop hebt aangemeld, maar de
praktijk is dat spam (waaronder phishing mails) door grote
hoeveelheden backdoored PC's worden verzonden, bij voorkeur
aan het begin van het weekend (en ISP's niet of nauwelijks
ingrijpen na klachten).

Dat deze PC stond te spammen was mogelijk al bekend voordat
xs4all deze ontving:
http://cbl.abuseat.org/lookup.cgi?ip=71.100.4.88&.submit=Lookup

IP Address 71.100.4.88 was found in the CBL.
It was detected at 2005-06-04 07:00 GMT (+/- 30 minutes).

Spamcop is niet zo precies over wanneer een PC is aangemeld:
http://www.spamcop.net/w3m?action=checkblock&ip=71.100.4.88
System has been listed for less than 24 hours.

Om een beetje een idee over de proporties van het spam
probleem te krijgen, zie de regels daaronder op spamcop:

Other hosts in this "neighborhood" with spam reports
71.100.3.199 71.100.4.64 71.100.4.118 71.100.4.127 71.100.4.251

Kortom, het aanpakken van 1 enkele spammende PC gaat dit
probleem niet oplossen. Het uit de lucht halen van de target
server heeft dan iets meer effect, maar zoals je in mijn
post op het forum hebt kunnen lezen, werd deze via een
redirect bereikt. Die redirect was en is nog steeds niet uit
de lucht, en het is een koud kunstje om die naar een andere
server te laten wijzen. Dat is een vaak gebruikte tactiek
maar is nu (nog) niet toegepast; ik sluit niet uit dat dit
in de loop van de nacht of morgenochtend gebeurt.

Erik van Straten
04-06-2005, 23:34 door G-Force
Nee dat klopt. Dat was ook een fout van mij. Ik heb de regel over het IP-
adres dan ook verwijderd.

De rest van je verhaal is ook juist, maar ik ben van mening dat je ergens moet beginnen. Het is juist dat het opsporen en elimineren van een dergelijke aanval meer bij komt kijken dan alleen aanmelden bij SpamCop. Maar goed, we zien wel. De strijd tegen dit soort digitale criminaliteit is er een van een lange adem.
06-06-2005, 09:13 door Anoniem
De e-mails die ik heb ontvangen waren afkomstig van een "bekende"
spamhost in Brazilie. Echter de link verwijst via Google.pl naar een
website in Rusland. Als je de gebruikte emailadressen bekijkt, dan zijn dit
stuk voor stuk Poolse namen. Mijn vermoeden is dat het een groep uit
Polen is die diverse Spam-relays gebruiken, die verwijzen naar de
desbetreffende Russische website.

C B.
06-06-2005, 10:15 door Walter
Onderstaande staat al sinds jaar en dag op de
mijnpostbank.nl website:

Belangrijk bericht voor Mijn Postbank.nl klanten. Lees verder.


Ga voorzichtig om met uw persoonlijke gegevens!
Mijn Postbank.nl is strikt persoonlijk. Medewerkers van
Postbank zullen daarom nooit naar uw gebruikersnaam,
wachtwoord, activeringscode of tan-codes vragen. Niet via
e-mail, telefoon of op welke andere manier dan ook.
06-06-2005, 23:22 door spatieman
sorrry.
Maar welke RANDDEBIEL reageert dan ook op een dergelijk
,engelstalig emailtje..

postbank gebruikers hebben een howto etc gelezen bij het
tekene van het contract..
nouja..
somige nederlanders zijn zo dom als vliegenstront.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search