image

Nederlandse internetter doelwit valse DHL-mail

woensdag 18 september 2013, 13:12 door Redactie, 7 reacties

Op dit moment gaat er een Nederlandstalige e-mail rond die ontvangers laat geloven dat ze een factuur van transportbedrijf DHL hebben ontvangen, terwijl het in werkelijkheid om malware gaat. Het gebruik van bekende namen zoals DHL en UPS is een tactiek die criminelen al jaren toepassen.

De afgelopen maanden zijn er echter ook steeds meer Nederlandstalige versies van dit soort scams verschenen, waarbij wordt geprobeerd om ontvangers de meegestuurde bijlage te laten openen. Zo gingen er e-mails rond die van TNT, PostNL of AutoWeek afkomstig zouden zijn. In alle gevallen moest de ontvanger een bijlage openen. Ook in het geval van de DHL-mail is er een ZIP-bijlage meegestuurd.

Bijlage

Het bericht heeft als onderwerp "DHL_factuur" gevolgd door een willekeurig nummer. De bijlage heeft als naam "factuur.PDF.16.09.2013.zip", zo blijkt uit een screenshot dat Mark Loman van beveiligingsbedrijf SurfRight online zette. Het ZIP-bestand bevat echter de malware, die een backdoor op het systeem opent. Loman laat tegenover Security.NL weten dat de e-mail waarschijnlijk van dezelfde groep afkomstig is die eerder de valse PostNL, TNT en AutoWeek berichten verstuurde.

Image

Reacties (7)
18-09-2013, 14:04 door AcidBurn
Ik krijg dagelijks van dit soort mailtjes, hoe is dit nieuws te noemen? Reclame maken voor die 'Mark' ofzo?
18-09-2013, 14:33 door Anoniem
Weet iemand hoe het kan dat het emailadres van de afzender wel gewoon billing.service@dhl.nl is? Dat zou toch moeten betekenen dat het domein 'dhl.nl' van de aanvallers is?
18-09-2013, 15:41 door Anoniem
Sep 18 12:02:17 >>> 451 4.7.1 <robberss@dhl.nl> greylisted - try again later
Sep 18 12:04:31 >>> 451 4.7.1 <plaintiffsxj08@dhl.nl> greylisted - try again later
Sep 18 12:12:25 >>> 451 4.7.1 <bulliedcb7@dhl.nl> greylisted - try again later
Sep 18 14:20:51 >>> 451 4.7.1 <cortexqvdi68@dhl.nl> greylisted - try again later
Sep 18 14:21:21 >>> 451 4.7.1 <yarmulkesvmgs61@dhl.nl> greylisted - try again later
Sep 18 14:23:45 >>> 451 4.7.1 <extrascao56@dhl.nl> greylisted - try again later
Sep 18 14:25:32 >>> 451 4.7.1 <douching10@dhl.nl> greylisted - try again later
Sep 18 14:28:12 >>> 451 4.7.1 <mingling38@dhl.nl> greylisted - try again later
Sep 18 14:43:17 >>> 451 4.7.1 <bleachers@dhl.nl> greylisted - try again later
Sep 18 14:44:22 >>> 451 4.7.1 <treated221@dhl.nl> greylisted - try again later
Sep 18 14:46:24 >>> 451 4.7.1 <chains75@dhl.nl> greylisted - try again later
Sep 18 14:49:08 >>> 451 4.7.1 <requestingie5@dhl.nl> greylisted - try again later
Sep 18 14:56:20 >>> 451 4.7.1 <whirligigw0@dhl.nl> greylisted - try again later
Sep 18 14:58:47 >>> 451 4.7.1 <placarddmnj1@dhl.nl> greylisted - try again later
Sep 18 14:59:05 >>> 451 4.7.1 <inclusiont722@dhl.nl> greylisted - try again later
Sep 18 15:02:57 >>> 451 4.7.1 <contrastj0@dhl.nl> greylisted - try again later
Sep 18 15:04:22 >>> 451 4.7.1 <xenonijxu2@dhl.nl> greylisted - try again later
Sep 18 15:04:44 >>> 451 4.7.1 <bibsti68@dhl.nl> greylisted - try again later
Sep 18 15:05:44 >>> 451 4.7.1 <sniftered40@dhl.nl> greylisted - try again later
Sep 18 15:10:23 >>> 451 4.7.1 <stratificationa9@dhl.nl> greylisted - try again later
Sep 18 15:12:19 >>> 451 4.7.1 <emissionsroi532@dhl.nl> greylisted - try again later
Sep 18 15:14:04 >>> 451 4.7.1 <inefficient20@dhl.nl> greylisted - try again later
Sep 18 15:14:26 >>> 451 4.7.1 <chilia60@dhl.nl> greylisted - try again later
Sep 18 15:15:03 >>> 451 4.7.1 <case1@dhl.nl> greylisted - try again later
Sep 18 15:15:26 >>> 451 4.7.1 <categorical7@dhl.nl> greylisted - try again later
Sep 18 15:15:32 >>> 451 4.7.1 <ospreys25@dhl.nl> greylisted - try again later
Sep 18 15:15:45 >>> 451 4.7.1 <longsjc12@dhl.nl> greylisted - try again later
Sep 18 15:19:32 >>> 451 4.7.1 <galaqov@dhl.nl> greylisted - try again later
Sep 18 15:19:43 >>> 451 4.7.1 <scroungersivyk@dhl.nl> greylisted - try again later
Sep 18 15:23:01 >>> 451 4.7.1 <intensified@dhl.nl> greylisted - try again later
Sep 18 15:23:32 >>> 451 4.7.1 <yolanda6@dhl.nl> greylisted - try again later
Sep 18 15:24:02 >>> 451 4.7.1 <winterized@dhl.nl> greylisted - try again later
Sep 18 15:24:58 >>> 451 4.7.1 <tenderizesn7@dhl.nl> greylisted - try again later
Sep 18 15:25:13 >>> 451 4.7.1 <pancaking580@dhl.nl> greylisted - try again later
Sep 18 15:25:50 >>> 451 4.7.1 <derricktjk1@dhl.nl> greylisted - try again later
Sep 18 15:27:03 >>> 451 4.7.1 <photocopierax1@dhl.nl> greylisted - try again later
Sep 18 15:27:33 >>> 451 4.7.1 <recoverszu@dhl.nl> greylisted - try again later
Sep 18 15:31:39 >>> 451 4.7.1 <meteorites9@dhl.nl> greylisted - try again later
Sep 18 15:32:36 >>> 451 4.7.1 <morallingqp6729@dhl.nl> greylisted - try again later
Sep 18 15:34:22 >>> 451 4.7.1 <localizinglv12@dhl.nl> greylisted - try again later
Sep 18 15:36:29 >>> 451 4.7.1 <pastebq740@dhl.nl> greylisted - try again later
18-09-2013, 19:14 door MI-10 - Bijgewerkt: 18-09-2013, 19:18
Door AcidBurn: Ik krijg dagelijks van dit soort mailtjes, hoe is dit nieuws te noemen? Reclame maken voor die 'Mark' ofzo?
En wil jij niet zo snel met je oordeel klaar staan aub?
Het ging hier om het algemeen belang. Dat is de reden waarom dit bericht naar de redactie is gestuurd.
18-09-2013, 19:54 door Anoniem
Door Anoniem: Weet iemand hoe het kan dat het emailadres van de afzender wel gewoon billing.service@dhl.nl is? Dat zou toch moeten betekenen dat het domein 'dhl.nl' van de aanvallers is?

Internet mail, zoals het indertijd (1982) gestandaardiseerd is, biedt geen bescherming tegen misbruik van adressen door derden. Iedereen is dus in staat dit adres als afzenderadres te gebruiken.

Sinds enkele jaren zijn er enkele authenticatie/autorisatie technieken beschikbaar, waarmee de eigenaar van een (mail)domeinnaam aan de ontvangende mailserver bekend kan maken, of het bericht afkomstig is van het betreffende domein of niet. Deze technieken (SPF [1] en DKIM [2]) worden in de januari 2012 gepubliceerde techniek DMARC [3] gebruikt om de ontvangende mailserver in staat te stellen dit soort berichten te weigeren.

Elk bedrijf met landelijke bekendheid doet er verstandig aan deze technieken te gaan toepassen, want gisteren waren het de banken die slachtoffer waren van phishing, vandaag zijn het DHL en Vodafone en morgen is het een ander bedrijf met landelijke bekendheid.

[1] www.openspf.org
[2] www.dkim.nl
[3] www.dmarc.org
18-09-2013, 22:11 door 0101 - Bijgewerkt: 18-09-2013, 22:13
Door Anoniem: Weet iemand hoe het kan dat het emailadres van de afzender wel gewoon billing.service@dhl.nl is? Dat zou toch moeten betekenen dat het domein 'dhl.nl' van de aanvallers is?
Het e-mailadres van de afzender van een e-mail kan vervalst worden. Alleen als een mail digitaal ondertekend is kun je met zekerheid zeggen dat de e-mail is gestuurd door iemand met de beschikking over de private key van de ondertekenaar. Als jij weet dat die private key toebehoort aan een bepaald persoon kun je ervan uitgaan dat dat de afzender is.
19-09-2013, 10:36 door Anoniem
Door Anoniem:
Internet mail, zoals het indertijd (1982) gestandaardiseerd is, biedt geen bescherming tegen misbruik van adressen door derden. Iedereen is dus in staat dit adres als afzenderadres te gebruiken.

Sinds enkele jaren zijn er enkele authenticatie/autorisatie technieken beschikbaar, waarmee de eigenaar van een (mail)domeinnaam aan de ontvangende mailserver bekend kan maken, of het bericht afkomstig is van het betreffende domein of niet. Deze technieken (SPF [1] en DKIM [2]) worden in de januari 2012 gepubliceerde techniek DMARC [3] gebruikt om de ontvangende mailserver in staat te stellen dit soort berichten te weigeren.

Elk bedrijf met landelijke bekendheid doet er verstandig aan deze technieken te gaan toepassen, want gisteren waren het de banken die slachtoffer waren van phishing, vandaag zijn het DHL en Vodafone en morgen is het een ander bedrijf met landelijke bekendheid.

dhl.nl maakt hier echter geen gebruik van, ze hebben geen SPF en DMARC records.
Overigens gebruikt DHL ook in Nederland niet het dhl.nl domein voor mail, maar dhl.com.
Die heeft wel SPF maar ook geen DMARC of DKIM.
En de servers staan in Tsjechië, ook niet echt een land waar je graag mail van aanpakt.

Het komt vaak voor dat bedrijven tig verschillende domeinnamen registreren met alleen een redirect voor
hun webpagina, en verder niks doen aan bescherming tegen phishers. Bij banken zie je dat ook vaak.
Het minste wat ze toch wel kunnen doen is een TXT record toevoegen met "v=spf1 -all".
Dan ben je als ontvanger van de mail in ieder geval zelf de schuld als je het aanpakt.

Overigens gebruikt deze phishrun willekeurige afzender adressen en probeert ieder afzenderadres maar 1 keer.
(ik had gisteren al een reactie gestuurd met een rijtje voorbeelden maar die is niet geplaatst)
Dus simpele greylisting houdt dit ook al tegen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.