Archief - De topics van lang geleden

ALERT! Nieuwe PHISHING aanval op de Postbank (29 april 2006)!

30-04-2006, 16:10 door G-Force, 10 reacties
Gebruikers van de Nederlandse Postbank zijn gewaarschuwd voor een
nieuwe phishing-aanval die sinds 29 april 2006 via het internet de ronde
doet.

Verschillende mensen (al of niet Postbank-klant) hebben een e-
mailbericht ontvangen dat afkomstig leek te zijn van de Postbank. De bank
weet evenwel te melden dat niet zij de verstuurders zijn geweest. In
foutloos Nederlands worden de ontvangers van dit bericht gevraagd om
hun "identiteit vast te stellen" omdat er al eerder over een project (in dit
geval My Postbank plus ++) gemaild zou zijn. Hierbij trachten de phishers
op een zeer geraffineerde manier in te spelen op de vergeetachtigheid van
de klant (die immers nogal wat reclame en aanbiedingen door zijn bus
getopt krijgt). Er moet vervolgens in de e-mail op de volgende link worden geklikt:

[color=red]https:/ / mijn.postbank.nl / internetbankieren / SesamLoginServlet[/color]

De link zelf wordt overigens door de legale Postbank site gebruikt en hierdoor ontstaat er een schijn van authenticiteit. Logt men via deze e-mail in, dan trapt men in de val van de phishers. Er worden dan persoonlijke bankgegevens en codes van de klant gestolen.

De Postbank waarschuwt op haar website met de volgende tekst:

Let op! Sinds 29 april 2006 is er een valse Postbank e-mail in omloop
waarin naar persoonlijke codes wordt gevraagd.
Een klein aantal mensen, zowel Postbank- als niet Postbankklanten, heeft
sinds 29 april 2006 een Nederlandstalige e-mail ontvangen die van
Postbank afkomstig lijkt te zijn. Hierin wordt gevraagd om op een link te
klikken en gebruikersnaam en wachtwoord van Mijn Postbank.nl in te
vullen. Deze e-mail komt NIET van Postbank. De e-mail adresgegevens
zijn niet afkomstig van de Postbank.
Mijn Postbank.nl is strikt persoonlijk. Medewerkers van Postbank zullen
daarom nooit naar uw gebruikersnaam, wachtwoord, activeringscode of
tan-codes vragen. Niet via e-mail, telefoon of op welke andere manier dan
ook.

1. Wie het bericht heeft genegeerd, hoeft niets te doen.
2. Wie WEL het bericht heeft opgevolgd wordt dringend aangeraden om
DIRECT gebruikersnaam en wachtwoord te wijzigen en contact op te nemen met de Postbank via het getoonde telefoonnummer.

De website van de Postbank over deze affaire is hier te lezen, alwaar ook de valse e-mail van de phishers is afgedrukt:

http://www.postbank.nl/ing/pp/page/alert/detail/0,2845,1859_103918_514929001,00.html
Reacties (10)
30-04-2006, 16:58 door Anoniem
'Een klein aantal mensen, zowel Postbank- als niet Postbankklanten, heeft
sinds 29 april 2006 een Nederlandstalige e-mail ontvangen die van
Postbank afkomstig lijkt te zijn. '

Ik vraag me af hoe ze aan de schatting 'een klein aantal mensen' komen ,
het was immers konginnedag en de meeste mensen zijn het aan het
vieren btw ik check me mail net en had hem 2x ontvangen.
30-04-2006, 17:02 door Anoniem
wat naar allemaal!
30-04-2006, 20:34 door G-Force
**UPDATE**

Er wordt via de gewone Postbank-link doorgelinkt naar het onderstaande
internetadres (onwerkzaam gemaakt)

[color=red]http:/ / www . beesales . com / shop / _notes[/color]

Firewall bezitters kunnen dit adres alvast blokkeren.
01-05-2006, 10:38 door SirDice
Door Peter V.
Er wordt via de gewone Postbank-link doorgelinkt naar
{..}
Uit interesse, hoe? Middels XSS? URL Spoofing? Wazige URL
encoding?
01-05-2006, 12:46 door sikkes
ik verwacht eigenlijk gewoon die postbank.nl link als "naam"
en die valse link in de url tag.
01-05-2006, 15:35 door G-Force
Door SirDice
Door Peter V.
Er wordt via de gewone Postbank-link doorgelinkt naar
{..}
Uit interesse, hoe? Middels XSS? URL Spoofing? Wazige URL
encoding?

Daar heb ik nog geen informatie over. Weet ik dus niet.
01-05-2006, 15:39 door G-Force
Door Anoniem
'Een klein aantal mensen, zowel Postbank- als niet
Postbankklanten, heeft
sinds 29 april 2006 een Nederlandstalige e-mail ontvangen
die van
Postbank afkomstig lijkt te zijn. '

Ik vraag me af hoe ze aan de schatting 'een klein aantal
mensen' komen ,
het was immers konginnedag en de meeste mensen zijn het aan het
vieren btw ik check me mail net en had hem 2x ontvangen.


Als er mensen zijn die nog het volledige bericht bewaard
hebben (dus volledige header met het oorspronkelijke
e-mail-bericht). Dan kunnen ze die naar de Terminator phishing-trap sturen van dit e-mailadres hieronder:

[email]pgvs999@xs4all.nl[/email]

Dit e-mailadres (van mijzelf) heb ik in het leven geroepen om dit soort phishingmailtejs te kunnen doorsturen naar CastelCops die dan probeert in een zo'n kort mogelijke tijd de website off-line te halen.
01-05-2006, 16:34 door Anoniem
Door Peter V.
Door SirDice
Door Peter V.
Er wordt via de gewone Postbank-link doorgelinkt naar
{..}
Uit interesse, hoe? Middels XSS? URL Spoofing? Wazige URL
encoding?

Daar heb ik nog geen informatie over. Weet ik dus niet.
In de source van de mail zie je dat het gewoon een spoof is van de URL.
Je ziet de correcte URL van de Postbank maar in werkelijkheid kom je bij
die foute URL uit. En dat zie je ook gewoon in je browser, dus dat zou de
meeste mensen moeten opvallen.
01-05-2006, 22:30 door Anoniem
Peter,

Paul Laudanski's site heet "castlecops.com" en geen
"castelcops". Daarenboven kan iedereen rechtstreeks
pishing emails rapporteren bij castlecops:

http://castlecops.com/f217-PIRT_Fried_Phish_Reports.html

...lijkt me de meest directe en logische methode.
02-05-2006, 15:41 door G-Force
Door Anoniem
Peter,

Paul Laudanski's site heet "castlecops.com" en geen
"castelcops". Daarenboven kan iedereen rechtstreeks
pishing emails rapporteren bij castlecops:

http://castlecops.com/f217-PIRT_Fried_Phish_Reports.html

...lijkt me de meest directe en logische methode.


Er is al op gereageerd hoor. De mails kun je gewoon naar
Castlecops sturen maar ook naar mij. Men is vrij in een
keuze wat te doen. Ik heb ook nooit over een verplichting of
iets dergelijks gesproken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search