Computerbeveiliging - Hoe je bad guys buiten de deur houdt

IBAN phishing mail

28-07-2014, 09:07 door Briolet, 6 reacties

Laatst bijgewerkt: 28-07-2014, 09:17

Zoals eerder op het forum gemeld zijn er diverse IBAn phishing mails in omloop https://www.security.nl/posting/378898/Weer+Nederlandstalige+IBAN-phishingmail+in+omloop

Vandaag kreeg ik er ook een en ik vroeg me af hoe de link werkt. Er was een link met de tekst: "kies hier uw bank". Normaal als ik de cursor er boven houdt, zie ik de onderliggende link. (Apple mail). Bij deze link gebeurde dat in het geheel niet. Dit maakte me nieuwsgierig. In de brontekst vond ik:

Erg cryptisch en ik vond ook geen http als protocol. Als ik de link vervolgens vanuit het mailprogramma naar de desktop sleep en daar bekijk, zie ik dat hij vertaald is tot:

<dict>
<key>URL</key>
<string>x-webdoc://<aangepast door moderator>*******/X.co/****</moderator></string>
</dict>

x-webdoc:// als protocol zegt me niets. Ik had geen zin de link zelf te testen, maar heeft iemand een idee wat ze hier doen? Is dit alleen een methode om te omzeilen dat het mailprogramma een link laat zien of is er meer aan de hand.

En als ik een beetje zoek, zie ik alleen anderen die zich afvragen wat een x-webdoc is: https://discussions.apple.com/thread/5660949. Het zijn wel alleen apple users met deze vraag.

MSXML 4 end of support

IE, Mozilla,Google chrome werken niet meer !!!!!!!!!

Reacties (6)

28-07-2014, 09:17 door Anoniem

Is gewoon een link naar x.co encoded.

Je kunt dergelijke mails het beste even naar valse-email@ je bank sturen.

28-07-2014, 10:50 door Anoniem

x.co is een Colombiaanse url-verkorter.

Als je www.x.co/<haal even de link weg!!!> invoert wordt je doorverwezen naar http://xxxxxxxxxxxx-iban.boxhost.me/ welke overigens offline lijkt te zijn (connection timed out), maar dat kan ook komen omdat mijn browser geen Apple is natuurlijk.

boxhost.me is toegewezen aan Montenegro, trek zelf je conclusies ;)

Mijn vraag is waarom alleen Appe-gebruikers deze mail hebben gekregen?
En x-webdoc zegt mij ook niets, behalve dat .webdoc een weinig gebruikte extensie voor online formulieren is.

En dan die hash. Weet je toevallig zelf waar die vandaan komt? Is die terug te vinden in de headers van de mail? Want dan zou het een referer kunnen zijn...

28-07-2014, 12:10 door Briolet - Bijgewerkt: 28-07-2014, 12:16

waar de link heen gaat had ik ook wel gezien, maar ik vroeg me meer af hoe het mechanisme werkt. = is een escape karakter, dus als je het decodeert staat er:

href="X.co/zhgr3dx"

Maar daar staat nog steeds niet dat het http verkeer is. Mijn vraag was dus hoe hij dat herkent. Als ik er met de muis over beweeg herkent hij de link niet, dus waarom zou het bij aanklikken wel herkend worden.

Ik heb nu een 'veilige' computer gepakt en daar de link aangeklikt. Hij blijkt niet eens te werken. Er wordt niets geopend omdat de mac ook niet weet welk protocol bedoeld wordt. Dus op de mac werkt die link gewoon niet. (nu met OSX 10.6 en OSX 10.9 getest) Blijkbaar zijn er mail programmas die bij een ontbrekend protocol, het maar via http proberen, anders maakt zo'n phishing mail helemaal geen zin.

Als ik de link met mijn OSX 10.6 computer kopieer dan wordt het "x-msg://12/X.co" Dus weer iets anders dan "x-webdoc://" Blijkbaar is die vertaling iets van de mac zelf en wat vroeger x-msg was is nu x-webdoc. Bij het ontbreken van een protocol maakt hij er een of ander intern protocol van die niet het internet op gaat.

Door Anoniem:Mijn vraag is waarom alleen Appe-gebruikers deze mail hebben gekregen?
...
En dan die hash. Weet je toevallig zelf waar die vandaan komt? Is die terug te vinden in de headers van de mail? Want dan zou het een referer kunnen zijn...

Het zijn zeer waarschijnlijk niet alleen de Apple gebruikers die de mail gekregen hebben. Dit type hash gebruikt de mac voor heel veel meer interne zaken en wordt, naar ik nu denk, alleen intern op de mac aangemaakt en heeft niets met de originele verzenders van de mail te maken.

28-07-2014, 13:06 door Anoniem

Door Briolet: waar de link heen gaat had ik ook wel gezien, maar ik vroeg me meer af hoe het mechanisme werkt. = is een escape karakter, dus als je het decodeert staat er:

href="X.co/zhgr3dx"

Maar daar staat nog steeds niet dat het http verkeer is. Mijn vraag was dus hoe hij dat herkent. Als ik er met de muis over beweeg herkent hij de link niet, dus waarom zou het bij aanklikken wel herkend worden.

Dat gaat er vanuit dat er wel een default protocol zal zijn in de software. In Internet explorer zal dit vast wel werken, anders
stuurden ze die mail niet.

Overigens zijn .co en .me toplevel domeinen die je het beste in zijn geheel kunt blokkeren.
(net als .cc en nog een paar)

28-07-2014, 17:04 door Briolet - Bijgewerkt: 28-07-2014, 17:05

Door Anoniem:Overigens zijn .co en .me toplevel domeinen die je het beste in zijn geheel kunt blokkeren.

Ik heb "X.co" nu via mijn dns server geblokkeerd. Het '.me' toplevel domein wordt ook door Synology gebruikt voor hun DDNS dienst. Vraag me niet waarom een firma uit Taiwan een domein uit Montenegro gebruikt. Ook al omdat hun Europese servers in Engeland (Leeds?) staan. Zelf gebruik ik een andere ddns dienst dan die van Synology voor mijn nas, maar ik zal dat .me domein toch maar niet blokkeren.

Zoals ik het nu zie, is deze codering van de url in de mail er niet om de gebruiker te misleiden, maar om malware-scanners te misleiden. En bij sommige mail programma's snijden ze zich hiermee dus zelf in de vingers.

29-07-2014, 10:42 door Anoniem

=2E is quoted printable MIME encoding. Het is de hexadecimale representatie van een punt.

Er zijn nogal wat mail programma's die nodeloos encoderen. Dat komt vooral voor bij emails van Aziaten. Het bemoeilijkt mogelijk wel de controle van links in domme parsers, maar veel heb je daar niet aan want x.co zal als domein niet worden geblokkeerd. x.co is een shortener van GoDaddy die ook in gewenste email kan voorkomen.
x.co is overigens populair in Aziatische spam.

De Apple x-webdoc onzin moet je gewoon negeren. Dat heeft niets met de phishing email te maken, het is Apple intern om aan te geven een uri scheme ontbreekt (de http://).

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

IBAN phishing mail

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren