Deze link gaat naar RUSLAND beste anoniempje...

Waarschijnlijk ben je al slachtoffer van Pharming!! (gewijzigd host bestand.)

Zeker gebruiker van IE... :-))

Het gevaar zit daar>>> http://u%09%670%09%65%32i6.
%64%61%%%%2eRu%%%%09/

Is dat de echte link ?

hij is namelijk dood

Dit is de gecodeerde link.

ik heb inderdaad IE, maar geen gewijzigd host file.

Waarom kon ik na testen van de link gewoon de gehele postbank site
bekijken dan? Kan iemand mij dat uitleggen?

bedankt.

Leuk al die tabs in een URL, ik vermoed dat je gestuurd
wordt naar:
http://ug0e2i6.da.ru/

Die was zojuist gewoon bereikbaar (IP=195.161.113.135). N.B.
http://www.da.ru/ vertelt me: "da.ru - free www-redirect
service".

Verzonden request door mij (browser en referrer zijn door
mij gespoofed, maar mijn datum/tijd kloppen beter dan die
van hen):

06/04/05 17:16:31 Browsing http://ug0e2i6.da.ru/
Fetching http://ug0e2i6.da.ru/ ...
GET / HTTP/1.1
Host: ug0e2i6.da.ru
Connection: close
Referer: http://go.msn.com/HML/6/8.asp
User-Agent: MSIE 5.0b1 ( Windows 98)

Uit het ontvangen antwoord, ik word doorgestuurd zoals te
verwachten viel:

HTTP/1.1 302 Found
Date: Sat, 04 Jun 2005 15:54:00 GMT
Server: Apache/1.3.9 (Unix) da.ru/1.2/DeathMatch
Location: http://dlkrexae.nm.ru/

Die site (http://dlkrexae.nm.ru/, IP=212.48.140.151, met
canonical name flock0vhs.newmail.ru) lijkt momenteel niet
bereikbaar (ook niet met ping). Daarentegen antwoordt
http://www.nm.ru (canonical name morda.newmail.ru,
IP=212.48.140.150) wel op pings en is ook via http bereikbaar.

Deze methode van phishing is gangbaar. Je LIJKT uit te komen
op de bedoelde site, maar het betreft een "man in the
middle" attack. De meeste informatie op je scherm is dan
afkomstig van de echte postbank site, maar niet de velden
waar je je gegevens in moet vullen. Meestal is de
betreffende site gekraakt, en niet zelden blijken de
eigenaars niet of nauwelijks bereikbaar (vermoedelijk speelt
dit een rol bij sites die voor dit doel worden
"uitgekozen"). Deze keer lijkt dat niet het geval en heeft
iemand ergens snel een stekker uit getrokken.

E.e.a. heeft niets met pharming en/of gewijzigde hosts file
te maken. Meestal (in mijn ervaring) is de site waar je op
uitkomt ook niet voorzien van exploits en/of malware (die
virussscanners kan laten afgaan en daardoor argwaan wekken).
Klungelig is dat ze de mail in het Engels hebben gescheven,
maar ga er maar vanuit dat die t.z.t. ook in foutloos
Nederlands verzonden zullen worden. Wees op je hoede!

Erik van Straten

De betreffende link werkt inderdaad niet. Misschien dat het hostingbedrijf
heeft ingegrepen?

Doorzichtig is deze phishing wel.....Een e-mail van de Postbank in het
Engels? Je PIN-code of CREDITCARD-nummer invullen? Straks geven ze
de sleutel van de kluis nog af als phishers daar om vragen....!

Doorzichtig? Ja, gelukkig wel.. Ik houdt m'n hart vast voor
de dag dat deze of andere gasten een mailtje in perfect
nederlands naar de nietsvermoedende Postbankklant sturen. En
helaas ken ik mensen die vrolijk hun wachtwoord zouden
mailen als er daarnaar gevraagd wordt in een "betrouwbaar"
mailtje van een betrouwbaar bedrijf ala de Postbank...

Het russische politie en leger zijn gek op leuke acties
zoals huizen binnenvallen, kunnen ze dan ook niet die gasten
traceren (als dat al mogelijk is) en dan met bruut geweld
hun huizen binnenvallen?

Lijkt een beetje op de PWN "leiding" test die in het nieuws was gister...

PWN die een testje doet en vergeet een "klep" open/dicht te doen waardoor
de druk op de rest van de "leiding" te groot werd en brak. Waardoor de
gehele straat "overstroomde" door een overvloed aan "water"...

"GESPOOFED" = gewijzigde indentiteit, ten einde een mogelijkheid te
creeren zich te verhullen achter een vervalst / gestolen indentiteit zich
daarbij kenbaar makend voor een ander dan de verzender van data.

Gelukkig heeft NL NEE gezegd tegen de EU grondwet...??

jij heb lef

Hoe heb je dit gecontroleerd...

ik heb via de link gewoon een antwoordform van de postbank kunnen
invullen. Kreeg een bevestigingsmail.. en later een antwoord.

m'n hostfile is niet veranderd. Ook na herstart stond er niets anders in.
De uitleg van Erik van Straten is perfect. Dat je na klikken op de link via
google.fr en een japanse msn doorgesturud wordt via een russische .RU
site en uitkomt op de postbank site kon je ook gewoon in de adresbalk van
je browser zien gebeuren. Gebeurd alleen wel snel, maar niet snel genoeg!


=====
Geachte heer/mevrouw,

Sommige mensen hebben vandaag een Engelstalige e-mail ontvangen
die van Postbank afkomstig lijkt te zijn. Hierin wordt gevraagd om op een
link te klikken en gebruikersnaam en wachtwoord van Mijn Postbank.nl in
te vullen samen met 3 TAN-codes. Deze e-mail komt NIET van Postbank.

Uw wachtwoord is strikt persoonlijk. Postbank zal u daarom nooit naar uw
wachtwoord of TAN-codes vragen. Niet via internet, e-mail, telefonisch, aan
de deur of via welke andere manier dan ook.

Heeft u deze e-mail ontvangen? Dan kunt u het volgende doen: Als u niet
op deze e-mail hebt gereageerd, is er niets aan de hand. Uw gegevens zijn
nog steeds veilig. U kunt, als u dat wilt, natuurlijk altijd uw gebruikersnaam
en/of wachtwoord wijzigen.

Als u wel op de link in de e-mail hebt geklikt en uw gebruikersnaam en
wachtwoord hebt ingevuld, dan moet u het volgende doen:

Wijzig direct uw gebruikersnaam en wachtwoord. Log hiervoor in op Mijn
Postbank.nl. Controleer of u de juiste url hebt. Voor Mijn Postbank.nl is de
url: https://www.p3.postbank.nl/sesam/. Neem contact op met Postbank,
telefoon 058-2958008 om het voorval te melden. U wordt verder geholpen
door één van onze medewerkers.

Wij hopen u hiermee voldoende te hebben geïnformeerd.

Met vriendelijke groet,
Postbank N.V.

Mw. drs. I.M. van der Wal
Hoofd E-commerce en E-mail
=======

Op zondag 05 juni 2005 01:33 schreef Anoniem onder meer:
> "GESPOOFED" = gewijzigde indentiteit

Nee, "Spoofed identity" is gewijzigde identiteit en
dat heb ik hierboven niet gedaan.

Donald Duck

Ik heb eens de link geprobeerd die Erik van Straten in zijn bericht liet zien

(http:/ /dlkrexae.nm.ru/) (deze link heb ik even onwerkbaar gemaakt)

De Netcraft Toolbar (antifishing toolbar) blokkeerde in IE direct de pagina
en gaf een waarschuwing af dat de site voor phishing doeleinden wordt
gebruikt. Toch een handig tooltje van Netcraft moet ik zeggen. Misschien wel een goede reden om meer computergebruikers deze toolbar te adviseren.

De toolbar voor IE en Firefox is te downloaden via:

http://toolbar.netcraft.com/

Jij moet me eens uitleggen wat de EU-grondwet te maken heeft met
spoofing?

en ook al in het Nederlands:


Lieve Postbank Klant,

Deze email werd verzonden door de Postbank server om uw identiteit vast
te stellen. Je moet dit proces afmaken door de link beneden aan te klikken
om door te gaan in het volgende menu en daar je gebruikersnaam en
wachtwoord invullen.
Dit is gedaan voor je eigen veiligheid - omdat sommige van onze leden
niet langer toegang hebben tot hun emailadres en wij het moeten
verifieren.

https://www.p3.postbank.nl/sesam/SesamLoginServlet


Wij hopen u hiermee voldoende te hebben geïnformeerd.
Met vriendelijke groet,
Postbank N.V

mijn postbank is al dagen geblokeerd
hoe los ik dit op.cjm.rovers.

Wat bedoel je met "geblokeerd"?

Vandaag (24-11) heb ik hem ook ontvangen:

http://www.postbank.nl_760i55eq.8o5a.10u126.vdszozmm.SMTP.ru/ is het
domein waar hij naar toe verwijst.
en dat levert deze site op.

http://www.vdszozmm.SMTP.ru/
Een tracert leverd de volgende gegevens op,

let vooral op het laatste domein.


1 1 ms 1 ms 1 ms 192.168.1.1
2 15 ms 46 ms 16 ms babyxl-nag-rt-spk-1.router.nl.demon.net [83.161.
68.65]
3 17 ms 18 ms 17 ms tc1-core-1-ge-1-0-3-33.router.nl.demon.net [82.1
61.247.13]
4 17 ms 19 ms 18 ms tc1-core-1-ge-1-0-3-33.router.nl.demon.net [82.1
61.247.13]
5 18 ms 17 ms 16 ms nkf-border-1-ge-1-0-0-0.router.nl.demon.net [82.
161.255.2]
6 290 ms 286 ms 282 ms ge-2-0-205.ipcolo1.Amsterdam1.Level3.net
[212.72
.46.85]
7 18 ms 19 ms 18 ms ae-0-51.mp1.Amsterdam1.Level3.net
[213.244.165.1
]
8 45 ms 45 ms 46 ms so-3-0-0.mp2.Stockholm1.Level3.net
[4.68.128.70]

9 46 ms 46 ms 44 ms 4.68.96.226
10 89 ms 86 ms 81 ms 213.242.110.130
11 94 ms 88 ms 88 ms cisco02.Moscow.gldn.net [194.186.157.221]
12 65 ms 66 ms 75 ms cat01.Moscow.gldn.net [194.186.157.82]
13 62 ms 64 ms 62 ms gw-gt-int.pochta.ru [194.186.36.126]
14 92 ms 91 ms 92 ms ftp.smtp.ru [81.211.64.121]