Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
KPN phishing: valse KPN aanmaning.
21-07-2014, 22:07 door Anoniem, 10 reacties
Valse KPN aanmaning.
De payload link gaat naar atmst punt net.
http://www.spamhaus.org/rokso/evidence/ROK9348/evgeny-medvednikov/spam-sample-2010-06
MIME text part:
Geachte heer/mevrouw,
Bedrijf : KPN
Adres : Maanplein 55
Postcode + Plaats (Hoofdkantoor) : 2516 CK Den Haag
Factuurnummer: 0014522161
Wij hebben u reeds meerdere malen verzocht om deze factuur te voldoen.=
=20
Tot op heden hebben wij geen enkele reactie van u ontvangen.
[Factuurnummer: 0014522161] [Datum: 14-01-2014] [Ingebrekestelling]
Wij stellen u thans nog eenmaal in de gelegenheid het verschuldigde be=
drag van =E2=82=AC52,50 binnen drie dagen op het volgende manier te vo=
ldoen:
Met de 3v online krediet kunt u online op onze website de betaling vol=
doen. U dient hieronder te klikken op " 3V Voucher kopen ".
3V Voucher kopen
=20
Let op: Nadat uw de 3V tegoed (prepaid credit) heeft aangeschaft dient=
u de 19 cijferige code hieronder te activeren om de betaling te voldo=
en.
Klik hieronder op activeer 3V Voucher,
=20
Activeer 3V Voucher
Indien we het volledige bedrag niet binnen de door ons gestelde termij=
n van u op onze manier ontvangen, dan zien wij ons genoodzaakt de vord=
ering uit handen te geven aan onze gerechtsdeurwaarders.=20
Een incassobureau kan geen beslag leggen op uw goederen, maar een deur=
waarder kan dit wel. Goederen kunnen spullen zijn, maar bijvoorbeeld o=
ok uw loon, uitkering.=20
Om beslag te leggen heeft een deurwaarder wel eerst een vonnis nodig v=
an de rechter.=20
Op sommige goederen mag geen beslag worden gelegd. Dit zijn bijvoorbee=
ld uw bed, eten en drinken, en de kleren die u draagt.=20
Alle hieruit voortkomende kosten zullen voor uw rekening komen. Tevens=
maken wij in dat geval aanspraak op de rente vanaf de vervaldatum.
Hoogachtend,
Reinier Koerour
De payload link gaat naar atmst punt net.
http://www.spamhaus.org/rokso/evidence/ROK9348/evgeny-medvednikov/spam-sample-2010-06
MIME text part:
Geachte heer/mevrouw,
Bedrijf : KPN
Adres : Maanplein 55
Postcode + Plaats (Hoofdkantoor) : 2516 CK Den Haag
Factuurnummer: 0014522161
Wij hebben u reeds meerdere malen verzocht om deze factuur te voldoen.=
=20
Tot op heden hebben wij geen enkele reactie van u ontvangen.
[Factuurnummer: 0014522161] [Datum: 14-01-2014] [Ingebrekestelling]
Wij stellen u thans nog eenmaal in de gelegenheid het verschuldigde be=
drag van =E2=82=AC52,50 binnen drie dagen op het volgende manier te vo=
ldoen:
Met de 3v online krediet kunt u online op onze website de betaling vol=
doen. U dient hieronder te klikken op " 3V Voucher kopen ".
3V Voucher kopen
=20
Let op: Nadat uw de 3V tegoed (prepaid credit) heeft aangeschaft dient=
u de 19 cijferige code hieronder te activeren om de betaling te voldo=
en.
Klik hieronder op activeer 3V Voucher,
=20
Activeer 3V Voucher
Indien we het volledige bedrag niet binnen de door ons gestelde termij=
n van u op onze manier ontvangen, dan zien wij ons genoodzaakt de vord=
ering uit handen te geven aan onze gerechtsdeurwaarders.=20
Een incassobureau kan geen beslag leggen op uw goederen, maar een deur=
waarder kan dit wel. Goederen kunnen spullen zijn, maar bijvoorbeeld o=
ok uw loon, uitkering.=20
Om beslag te leggen heeft een deurwaarder wel eerst een vonnis nodig v=
an de rechter.=20
Op sommige goederen mag geen beslag worden gelegd. Dit zijn bijvoorbee=
ld uw bed, eten en drinken, en de kleren die u draagt.=20
Alle hieruit voortkomende kosten zullen voor uw rekening komen. Tevens=
maken wij in dat geval aanspraak op de rente vanaf de vervaldatum.
Hoogachtend,
Reinier Koerour
Reacties (10)
Rekeningen betaal je niet met een "voucher," ik zie de toegevoegde (nieuws)waarde van dit bericht dan ook niet.
Maar bedankt voor de moeite ;)
Maar bedankt voor de moeite ;)
"Rekeningen betaal je niet met een "voucher," ik zie de toegevoegde (nieuws)waarde van dit bericht dan ook niet."
En omdat jij dat weet, denk je dat niemand slachtoffer wordt ?
"Maar bedankt voor de moeite ;)"
De informatie is nuttig, bijvoorbeeld zodat firewall beheerders verkeer naar het genoemde domein kunnen blokkeren.
En omdat jij dat weet, denk je dat niemand slachtoffer wordt ?
"Maar bedankt voor de moeite ;)"
De informatie is nuttig, bijvoorbeeld zodat firewall beheerders verkeer naar het genoemde domein kunnen blokkeren.
heb je KPN ingelicht (gebeld met de helpdesk of een mail gestuurd) zodat ze kunnen kijken of deze mail er uit gefilterd kunnen worden ?
Door Anoniem: "Rekeningen betaal je niet met een "voucher," ik zie de toegevoegde (nieuws)waarde van dit bericht dan ook niet."
En omdat jij dat weet, denk je dat niemand slachtoffer wordt ?
"Maar bedankt voor de moeite ;)"
De informatie is nuttig, bijvoorbeeld zodat firewall beheerders verkeer naar het genoemde domein kunnen blokkeren.
De gemiddelde "firewall-beheerder" (lol, of bedoel je een eindgebruiker?) gebruikt net even een wat andere strategie, spamhaus bijvoorbeeld. Zeker in zakelijk opzicht is dit een mail van niets trouwens, alsof een accountmanager hier in trapt. En alsof de eindgebruiker die hier wel in gaat trappen actief security.nl bezoekt....En omdat jij dat weet, denk je dat niemand slachtoffer wordt ?
"Maar bedankt voor de moeite ;)"
De informatie is nuttig, bijvoorbeeld zodat firewall beheerders verkeer naar het genoemde domein kunnen blokkeren.
Dit soort spam kun je beter doorsturen naar KPN zelf / de fraudehelpdesk dan het hier posten, ik sluit me dan ook aan bij anon 12:04, al helemaal omdat er geen headers bij staan.
STUUR HEADERS ALTIJD MEE, wel even je IP & mailadres eruit vissen natuurlijk.
Tenzij het werkelijk iets is wat nieuwe vectoren gebruikt natuurlijk, dan zie ik het wel graag verschijnen.
Maar dit? Nee, ik zie nog steeds het nut niet... (sorry)
"Dit soort spam kun je beter doorsturen naar KPN zelf / de fraudehelpdesk dan het hier posten, ik sluit me dan ook aan bij anon 12:04, al helemaal omdat er geen headers bij staan."
Welke relevantie hebben de headers ? Wil je een abuse klacht gaan indienen ? Blokkeren van de traffic lijkt mij meer dan genoeg ;)
"Tenzij het werkelijk iets is wat nieuwe vectoren gebruikt natuurlijk, dan zie ik het wel graag verschijnen.
Maar dit? Nee, ik zie nog steeds het nut niet... (sorry)"
Voor mij is zoiets bijvoorbeeld interessant, omdat je vervolgens kunt kijken in welk netwerk zo'n website hangt, en wat binnen die range (en andere ranges binnen het zelfde AS) allemaal nog meer wordt gehost, zodat je kan overwegen om verkeer naar zo'n netwerk te blokkeren en/of te monitoren.
inetnum: 89.111.21.0 - 89.111.21.255
netname: DEAC-COLOCATION-RIGA-NET
descr: Tools United Ltd
country: LV
admin-c: DH766-RIPE
tech-c: DH766-RIPE
status: ASSIGNED PA
mnt-by: DEAC-MNT
changed: zvitins@deac.lv 20130107
source: RIPE
Indien je op deze manier verbindingen naar ''bad internet neighbourhoods'' in de gaten houdt, dan kom je allerlij zaken op het spoor die niet wordt gedetecteerd door je virusscanner (en waar spamhaus je evenmin tegen beschermt).
Voor dit soort zaken houdt ik een lijst bij met dergelijke netwerken (inmiddels al enkele duizenden subnets). Misschien dat je mijn insteek nu wat meer snapt ;)
Welke relevantie hebben de headers ? Wil je een abuse klacht gaan indienen ? Blokkeren van de traffic lijkt mij meer dan genoeg ;)
"Tenzij het werkelijk iets is wat nieuwe vectoren gebruikt natuurlijk, dan zie ik het wel graag verschijnen.
Maar dit? Nee, ik zie nog steeds het nut niet... (sorry)"
Voor mij is zoiets bijvoorbeeld interessant, omdat je vervolgens kunt kijken in welk netwerk zo'n website hangt, en wat binnen die range (en andere ranges binnen het zelfde AS) allemaal nog meer wordt gehost, zodat je kan overwegen om verkeer naar zo'n netwerk te blokkeren en/of te monitoren.
inetnum: 89.111.21.0 - 89.111.21.255
netname: DEAC-COLOCATION-RIGA-NET
descr: Tools United Ltd
country: LV
admin-c: DH766-RIPE
tech-c: DH766-RIPE
status: ASSIGNED PA
mnt-by: DEAC-MNT
changed: zvitins@deac.lv 20130107
source: RIPE
Indien je op deze manier verbindingen naar ''bad internet neighbourhoods'' in de gaten houdt, dan kom je allerlij zaken op het spoor die niet wordt gedetecteerd door je virusscanner (en waar spamhaus je evenmin tegen beschermt).
Voor dit soort zaken houdt ik een lijst bij met dergelijke netwerken (inmiddels al enkele duizenden subnets). Misschien dat je mijn insteek nu wat meer snapt ;)
Headers hebben weinig zin. Spammers gebruiken ontelbaar veel IP adressen.
Content is doorgaans voorspelbaarder/stabieler. Payload uri's zijn ook handig om te weten.
Het ging mij er vooral om dat gebruikers en beheerders de berichten kunnen herkennen. Over soortgelijke phishing maar dan met CJIB als onderwerp is al eerder bericht op deze site. Daar ging het ook om "3V vouchers".
Ik heb KPN niet ingelicht. Zij kunnen weinig doen om bezorging te voorkomen, het gaat niet door hun servers. Het is alleen hun naam die wordt misbruikt voor deze oplichtingsmail. Ze zouden wel een waarschuwing kunnen plaatsen, maar daar hebben ze deze posting niet voor nodig.
Content is doorgaans voorspelbaarder/stabieler. Payload uri's zijn ook handig om te weten.
Het ging mij er vooral om dat gebruikers en beheerders de berichten kunnen herkennen. Over soortgelijke phishing maar dan met CJIB als onderwerp is al eerder bericht op deze site. Daar ging het ook om "3V vouchers".
Ik heb KPN niet ingelicht. Zij kunnen weinig doen om bezorging te voorkomen, het gaat niet door hun servers. Het is alleen hun naam die wordt misbruikt voor deze oplichtingsmail. Ze zouden wel een waarschuwing kunnen plaatsen, maar daar hebben ze deze posting niet voor nodig.
23-07-2014, 11:14 door
Vandy
Door Anoniem 22-07 14:51:
Voor mij is zoiets bijvoorbeeld interessant, omdat je vervolgens kunt kijken in welk netwerk zo'n website hangt, en wat binnen die range (en andere ranges binnen het zelfde AS) allemaal nog meer wordt gehost, zodat je kan overwegen om verkeer naar zo'n netwerk te blokkeren en/of te monitoren.
inetnum: 89.111.21.0 - 89.111.21.255
netname: DEAC-COLOCATION-RIGA-NET
descr: Tools United Ltd
country: LV
admin-c: DH766-RIPE
tech-c: DH766-RIPE
status: ASSIGNED PA
mnt-by: DEAC-MNT
changed: zvitins@deac.lv 20130107
source: RIPE
Indien je op deze manier verbindingen naar ''bad internet neighbourhoods'' in de gaten houdt, dan kom je allerlij zaken op het spoor die niet wordt gedetecteerd door je virusscanner (en waar spamhaus je evenmin tegen beschermt).
Voor dit soort zaken houdt ik een lijst bij met dergelijke netwerken (inmiddels al enkele duizenden subnets). Misschien dat je mijn insteek nu wat meer snapt ;)
Is jouw lijst met "bad neighbourhoods" completer dan Badhosts? (http://www.hostsfile.org/hosts.html)Voor mij is zoiets bijvoorbeeld interessant, omdat je vervolgens kunt kijken in welk netwerk zo'n website hangt, en wat binnen die range (en andere ranges binnen het zelfde AS) allemaal nog meer wordt gehost, zodat je kan overwegen om verkeer naar zo'n netwerk te blokkeren en/of te monitoren.
inetnum: 89.111.21.0 - 89.111.21.255
netname: DEAC-COLOCATION-RIGA-NET
descr: Tools United Ltd
country: LV
admin-c: DH766-RIPE
tech-c: DH766-RIPE
status: ASSIGNED PA
mnt-by: DEAC-MNT
changed: zvitins@deac.lv 20130107
source: RIPE
Indien je op deze manier verbindingen naar ''bad internet neighbourhoods'' in de gaten houdt, dan kom je allerlij zaken op het spoor die niet wordt gedetecteerd door je virusscanner (en waar spamhaus je evenmin tegen beschermt).
Voor dit soort zaken houdt ik een lijst bij met dergelijke netwerken (inmiddels al enkele duizenden subnets). Misschien dat je mijn insteek nu wat meer snapt ;)
Zo ja, misschien een ideetje om 'm te delen?
27-07-2014, 09:28 door
Briolet
Door Anoniem: Ik heb KPN niet ingelicht. Zij kunnen weinig doen om bezorging te voorkomen, het gaat niet door hun servers.
Dat zij niets kunnen doen is niet waar. Veel mailservers raadplegen blacklists voordat ze mail doorsturen. KPN zou moeite kunnen doen om de afzender, of zelfs het hele domein, op diverse blacklists te krijgen.
Door Briolet:
Dat zij niets kunnen doen is niet waar. Veel mailservers raadplegen blacklists voordat ze mail doorsturen. KPN zou moeite kunnen doen om de afzender, of zelfs het hele domein, op diverse blacklists te krijgen.
Door Anoniem: Ik heb KPN niet ingelicht. Zij kunnen weinig doen om bezorging te voorkomen, het gaat niet door hun servers.
Dat zij niets kunnen doen is niet waar. Veel mailservers raadplegen blacklists voordat ze mail doorsturen. KPN zou moeite kunnen doen om de afzender, of zelfs het hele domein, op diverse blacklists te krijgen.
Het payload domein staat al op een aantal URI blacklists. Een ROKSO spammer zal vrijwel zeker zijn IP reeks op een IP blacklist terug kunnen vinden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.