image

Frauduleuze e-mails Intrum Justitia verspreiden ransomware

dinsdag 9 juni 2015, 13:39 door Redactie, 35 reacties

Cybercriminelen hebben weer frauduleuze e-mails verstuurd die van het Haagse incassobureau Intrum Justitia afkomstig lijken en in werkelijkheid ransomware bevatten. Ook eind vorig jaar vond er een campagne plaats waarbij de naam van het incassobureau werd gebruikt.

Volgens de e-mail moet de ontvanger een openstaande vordering van TransIP Domein Registratie betalen. Meer informatie is in de bijlage te vinden, genaamd factuur.zip. >Vanwege de e-mails hebben zowel TransIP als Intrum Justitia een waarschuwing afgegeven. Ook heeft het incassobureau een uitleg online gezet hoe internetgebruikers frauduleuze e-mails kunnen herkennen. Ondanks de waarschuwingen zijn sommige ontvangers toch de dupe geworden.

"Mailtje geopend van "Intrum Justitia" !! GEHACKT !!! NIET DOEN DUS !!", aldus een gebruiker op Twitter, die laat zien hoe zijn bestanden via de CTB-Locker-ransomware versleuteld zijn. De Belgische afdeling van Intrum Justitia adviseert slachtoffers om aangifte te doen bij de lokale politie. Zelf is het incassobureau ook naar de politie gestapt.

Image

Reacties (35)
09-06-2015, 13:47 door [Account Verwijderd] - Bijgewerkt: 09-06-2015, 13:50
[Verwijderd]
09-06-2015, 13:56 door Anoniem
Alhoewel ik dit soort berichten op prijs stel, ben ik toch vaak teleurgesteld over de hoeveelheid informatie die wordt verstrekt.
Ik zou het waarderen als tenminste het e-mailadres van de afzender, alsmede de tekst in het onderwerp zou worden vermeld.
Zodoende kan men snel (spam)filters aanpassen o.b.v. deze gegevens.

Bedankt voor het lezen.
09-06-2015, 13:56 door Anoniem
Door Anak Krakatau: effe off-topic, maar.....ik verbaas me over het incorrecte gebruik van het latijn,
het moet m.i. zijn: intra justitia

maar als ik het fout heb, mag iedereen mij verbeteren hoor..

Je kan het Latijn technisch wel correct hebben maar het bedrijf heet gewoon Intrum justitia : http://www.intrum.com/nl/ dus dit klopt wel op zich.
09-06-2015, 14:10 door Skizmo
Officiele dingen komen niet per mail. Hoe vaak moet dit nog gezegd worden ?
09-06-2015, 14:16 door johanw
Ook de mails die ze zelf versturen zijn gewoonlijk frauduleus. Als ik massaal rekeningen stuur voor geld waar ik geen recht op heb heet dat fraude, als zij het doen is dat de normale bedrijfsvoering.
09-06-2015, 15:42 door Mysterio
Door johanw: Ook de mails die ze zelf versturen zijn gewoonlijk frauduleus. Als ik massaal rekeningen stuur voor geld waar ik geen recht op heb heet dat fraude, als zij het doen is dat de normale bedrijfsvoering.
Volgens mij sturen ze geen rekeningen per e-mail.
09-06-2015, 15:55 door Anoniem
Ik verbaas me altijd dat als je zo'n mail ontvangt op de een of andere manier het bankrekeningnummer niet meteen op https://www.politie.nl/aangifte-of-melding-doen/controleer-handelspartij.html op de zwarte lijst staat.

Misschien iets voor @fraudehelpdesk ?
09-06-2015, 17:12 door Anoniem
Door Skizmo: Officiele dingen komen niet per mail. Hoe vaak moet dit nog gezegd worden ?
Helaas... De facturen van TransIP alsmede herinneringen van Incassoburo's komen tegenwoordig wel degelijk per mail.
09-06-2015, 17:14 door zeevis
Volgen mij moet het zij Stichting Derdegelden zijn en Derdegeleden zijn. Hieruit blijkt duidelijk de nepmail.
09-06-2015, 17:16 door Anoniem
Ik heb inderdaad vanmorgen ook zo'n e-mail in mn mail inbox aangetroffen.Ben meteen naar de website van Intrum Justitia gegaan om e.e.a. te verifieeren,blijkt datzij zelf al waarschuwen voor deze valse e-mailtjes,rekeningnummer klopte niet met dat van de echte I.J. dus gedaan wat IJ al aanraadde,nl.niet openen en verwijderen. Zelfs al had ik de mail geopend en was mn pc besmet met ransomware besmet geraakt,ik ga echt niet betalen voor mn pc weer vrij te krijgen,het ding is ruim 7 jaar oud,met vista erop dus daar ga ik geen losgeld voor betalen (koop ik liever een nieuwe windows 10 pc!). Zoveel bijzonder belangrijks staat er ook niet op mn p,dus dat was ook geen groot verlies geweest..
09-06-2015, 17:16 door zeevis
Nu maak ik ook een fout
Nogmaals Het moet zijn Stichting Derdengelden en NIET Derdengeleden.
09-06-2015, 17:19 door Erik van Straten - Bijgewerkt: 09-06-2015, 17:22
09-06-2015, 14:16 door johanw: Ook de mails die ze zelf versturen zijn gewoonlijk frauduleus. Als ik massaal rekeningen stuur voor geld waar ik geen recht op heb heet dat fraude, als zij het doen is dat de normale bedrijfsvoering.
Daar kon je wel eens gelijk in hebben, zie http://www.nu.nl/ondernemen/4065035/deurwaarders-incasseren-miljoenen-veel.html van vandaag.

09-06-2015, 14:10 door Skizmo: Officiele dingen komen niet per mail. Hoe vaak moet dit nog gezegd worden ?
Was dat maar zo.

Uit http://www.intrum.com/nl/Pers-en-publicaties/Nieuwsberichten/Nieuwsberichten-container/Phising-mail/:
Intrum Justitia zal nooit via een algemene e-mail verzoeken een openstaande vordering te voldoen. Dergelijke e-mails zijn gepersonaliseerd, kennen een dossiernummer, vragen nooit om een wachtwoord en hebben een duidelijke Intrum Justitia signature.
Hè gelukkig, dankzij o.a. de "duidelijke Intrum Justitia signature" zijn de echte mails zijn feilloos te onderscheiden van de neppers! (niet dus).

Uit een recente mail van Ziggo die ik ontving:
Beste heer/mevrouw Straten,

Uw nieuwe factuur staat voor u klaar in Mijn Ziggo.
waarbij "Mijn Ziggo" verwijst naar een URL die begint met http://ziggonotanotificatie.e4.mailplus.nl/.

Uit een recente mail van mijn waterleidingbedrijf:
Deze e-mail is verzonden door PostNL.
Ontvangt u deze e-mail [...] in een vreemde opmaak of zonder afbeeldingen? Klik hier voor de online versie.
waarbij "hier" verwijst naar een URL die begint met http://email.iaccept.eu/ (en nee, mijn waterleidingbedrijf ken ik niet als iaccept.eu en dat domain lijkt ook niet op PostNL).

En deze praktijken bestaan al jaren. In 2003 schreef Exibar in http://seclists.org/fulldisclosure/2003/Dec/545 onder meer:
PayPal, in their own security advisory message, states never to click on any link that claims to be from PayPal unless it is https://www.paypal.com
And they usually state that any other link is bogus, even if it states that it is an "official PayPal site".
Maar kort daarvoor ontving Aaron Horst (http://seclists.org/fulldisclosure/2003/Dec/488) een "promotional e-mail van Providian" naar verluidt namens PayPal waarin hij werd verwezen naar pagina's beginnend met https://www.paypalcreditcard.com/. Die mail bleek wel degelijk legitiem te zijn.

Ook nu nog staat bijvoorbeeld in https://www.paypal.com/au/webapps/mpp/phishing (met EV-certificaat), klik op "See examples of scam and phishing emails" onder meer het volgende:
What to look out for

It’s common practice for emails to include links to further information. However, before clicking on a link to log in or provide personal or financial information you should hover your cursor over the link, or tap and hold it on your mobile, to confirm the URL is a paypal.com.au or paypal.com address.
Interessant is dat die informatie afkomstig is van https://www.paypalobjects.com/ (geen EV-certificaat).

Op dit moment geeft https://www.paypalcreditcard.com/ geen antwoord, terwijl http://www.paypalcreditcard.com/ een redirect doet naar https://www.paypal.com. Ik ben benieuwd hoe lang PayPal de paypalcreditcard.com domainname in haar bezit houdt - daar zullen vast wel geïnteresseerden voor bestaan.

Vergelijkbaar, http://paypalcreditcard.co.uk/ doet een redirect naar https://www.santandercards.co.uk/service/authentication/paypal maar die site antwoordt niet - en ik heb geen idee of dit een legitieme site is.

Uit https://www.paypal.com/nl/webapps/mpp/phishing:
Controleer het e-mailadres van de afzender.

Als het adres op iets anders dan @paypal.com, @paypal.nl of @e.paypal.nl eindigt, is de kans groot dat het een spoof e-mail betreft.
Okay, maar als het daar wel op eindigt, weet ik dan zeker dat het om een legitieme mail gaat? NEE DUS.

Je kunt natuurlijk voor elke mail die je stuurt een screenshot ervan op Twitter publiceren en erbij schrijven "als ie er zo uit ziet, is ie wel echt!" (https://www.security.nl/posting/405715/PostNL+waarschuwt+klanten+voor+besmette+e-mails) maar waarom je die mail dan nog stuurt ontgaat me.

tl;dr: een leek kan onmogelijk bepalen of een e-mail nep is of echt (d.w.z. daarwerkelijk en legitiem verzonden is door of namens een persoon of organisatie). Het zou goed zijn als organisaties daar niet omheen zouden draaien.
09-06-2015, 18:45 door Anoniem
HitmanPro Alert schijnt de pc en de bestanden daarop te beschermen tegen o.m. crypto-malware.Geweldig,en nog een Nederlands produkt ook.
09-06-2015, 19:15 door iAm - Bijgewerkt: 09-06-2015, 19:57

Als het adres op iets anders dan @paypal.com, @paypal.nl of @e.paypal.nl eindigt, is de kans groot dat het een spoof e-mail betreft.
Okay, maar als het daar wel op eindigt, weet ik dan zeker dat het om een legitieme mail gaat? NEE DUS.

NEE, maar met een onderbouwing voor de meelezer:
- Paypal.nl gebruikt SPF - een manier waarmee ze kunnen aangeven welke servers/ip adressen mail mogen versturen namens ze -, maar heeft deze staan op ~ (SoftFail) ipv - (Fail). Jouw mailprovider zal de mail dus mogelijk nog doorlaten.
- Paypal.nl gebruikt in aanvulling op SPF ook DMARC (https://support.google.com/a/answer/2466580?hl=en) en heeft deze netjes op p=reject staan, maar helaas ondersteunen vele mail-providers in NL (op xs4all en een paar voorlopers na) DMARC nog niet (goed/volledig). In GMAIL GUI kun je die feature trouwens terugvinden als gebruiker onder http://gmailblog.blogspot.nl/2009/07/new-in-labs-super-trustworthy-anti.html de noemer 'Verificatiepictogram voor gecontroleerde afzenders'.

Overigens ligt het maar net aan je mailclient of "hover your cursor over the link" de echte link weergeeft of niet. Vertrouw daar vooral niet op zou ik zeggen.

tl;dr; (mijn afdronk):
Klik gewoon niet op mailtjes, maar ga zelf alleen op je eigen beheerde pc naar de site door dit zelf in de adresbalk in te typen en daarna meteen het certificaat te controleren. Of pak de app als het bedrijf dat heeft.
En blijf klagen bij bedrijven die mails versturen waar je ook maar een seconde over twijfelt :) En blijf klagen bij je provider dat ze SPF en DMARC goed gaan ondersteunen.
09-06-2015, 19:16 door Pandit
Je beschermen tegen randsomware op een windows machine is niet eenvoudig maar wel mogelijk zoals Paula Januszkiewicz hier uitlegt: http://channel9.msdn.com/events/Ignite/2015/BRK3343
09-06-2015, 20:05 door wallum
Maar hoe leidt het uitvoeren van een zip-bestand nu tot besmetting?
09-06-2015, 20:13 door Skizmo
Door Anoniem:
Door Skizmo: Officiele dingen komen niet per mail. Hoe vaak moet dit nog gezegd worden ?
Helaas... De facturen van TransIP alsmede herinneringen van Incassoburo's komen tegenwoordig wel degelijk per mail.
Ik krijg de rekening van TransIP ook via de mail (mededeling dat het afgeschreven word), maar zover ik weet is email nog steeds niet 'veilig' en vannuit dat oogpunt kan ik me niet voorstellen dat incasso bureau's email-only dingen versturen die rechtsgeldig zijn.
09-06-2015, 21:49 door [Account Verwijderd]
[Verwijderd]
09-06-2015, 22:52 door Briolet - Bijgewerkt: 09-06-2015, 22:52
Door Anoniem: Ik verbaas me altijd dat als je zo'n mail ontvangt op de een of andere manier het bankrekeningnummer niet meteen op de zwarte lijst staat.

Omdat dat bankrekeningnummer gewoon legitiem is? Van deze weet ik het niet, maar een recente phishing mail uit naam van Ziggo bevatte gewoon het Ziggo banknummer. De bedoeling was nml niet om via de bank geld te stelen maar om de PC te besmetten.

Door iAmWill: - Paypal.nl gebruikt in aanvulling op SPF ook DMARC

intrum.com, de website van Intrum Justitia, gebruikt ook SPF en DMARC. Maar er zijn meer manieren om mensen te misleiden. Of de afzender is net even anders gespeld of de ontvangende mailserver heeft geen SPF en DMARC test.

En niet iedereen heeft alles netjes beveiligd. Gisteren kreeg ik b.v. een mailtje van "ijsselland.politie.nl". Dat domein gebruikte geen SPF terwijl "politie.nl" er wel een gebruikt. Dus hebben ze er ook maar half over nagedacht wat hun eigen mailadressen zijn toen ze SPF records aangemaakt hebben.
10-06-2015, 04:03 door Anoniem
Door wallum: Maar hoe leidt het uitvoeren van een zip-bestand nu tot besmetting?
Jouw vraag is vast niet serieus maar toch ga ik hem zo beantwoorden; doordat er gewoon een exe bestandje in zit 'verstopt'.

Verder is het verstandig om een mailcliënt te gebruiken die standaard alle externe inhoud in 'n e-mail blokt. Op die wijze kunnen bedrijven ook niet zien of jij hun mail wel of niet gelezen hebt.
10-06-2015, 10:17 door Anoniem
Heeft iemand headers van deze mails?
11-06-2015, 16:03 door Anoniem
Even zoeken op "interim justitia" en je ziet waarom ze graag intrum gebruiken omdat het al snel als Interim Justitia wordt uitgesproken wat zoiets betekent als " vervangende vrouwe justitia "

Interim Justitia - o.a. Incasso- en Betalingsdiensten?
Adv.www.intrum.com/nl/Interim+Justitia?
Informeer nú naar de mogelijkheden!
Incasso Keurmerk · Aangesloten bij de NVI · Ruim 90 jaar ervaring
Intrum Basic PakketIntrum Premium PakketIntrum MKB-oplossingenIntrum Global Pakket
11-06-2015, 18:13 door Anoniem
Intrum Justitia Mon, 10:30 pm + Openstaande Factuur
Intrum Justitia Mon, 8:54 pm + Openstaande Factuur

Zolang Intrum Justitia zelf mail verstuurd op bovenstaande wijze is de kans groot dat je meer kosten aan je broek krijgt.
Of dat je last krijgt van malware.
15-06-2015, 10:27 door Anoniem
Ik heb de beruchte e-mail. Hierbij de 'verzender' en het onderwerp:

Van: Intrum Justitia [mailto:online@klantcontact-itrum.nl]
Onderwerp: Openstaande posten.

(Let op: 'itrum' in plaats van intrum. En als je verder kijkt dan je neus lang is klopt er wel meer niet aan de hele e-mail. Maar de e-mails zijn nét goed genoeg opgesteld om binnen een drukke bedrijfsvoering helaas toch in het hele geintje te trappen.)
15-06-2015, 10:29 door Anoniem
Ik heb de beruchte e-mail. Hierbij de 'verzender' en het onderwerp:

Van: Intrum Justitia [mailto:online@klantcontact-itrum.nl]
Onderwerp: Openstaande posten.

(Let op: 'itrum' in plaats van intrum. En als je verder kijkt dan je neus lang is klopt er wel meer niet aan de hele e-mail. Maar de e-mails zijn nét goed genoeg opgesteld om binnen een drukke bedrijfsvoering helaas toch in het hele geintje te trappen.)
15-06-2015, 11:45 door Anoniem
In principe reageren wij niet op mails met een URL of mailadres er in, In het algemeen gaat er dan een standaardmail naar het officiële contactadres van de afzender dat wij 'tot onze spijt niet op dergelijke mails reageren'.

Het doel hiervan is:

1. Dat wij gedekt zijn indien de mail géén phishingmail zou zijn, je mag je namelijk beschermen tegen cybercrime. Overigens is het wettelijk zo dat de afzender verantwoordelijk is voor het niet niet aankomen van post of mail en dat boetes voortvloeiende uit het niet ontvangen niet invorderbaar zijn.

2. Dat bedrijven alerter worden op hetgeen zijn verzenden.

Zou iedereen dit doen dan zouden bedrijven stoppen met het zenden van dit soort e-mails en zouden de ontvangers weten dat al dit soort berichten nep zijn.

Een uitbreiding van veiligheidsmaatregelen zou overigens kunnen zijn om mails uitsluitend met een door de geadresseerde code per bedrijf te verzenden. Code natuurlijk regelmatig wisselen ;-). Maar dit lijkt voorlopig nog de vervanmijnbedshow. Hoewel, een gat in de markt voor een beveiligingsbedrijf?
15-06-2015, 22:06 door wallum
Door Anoniem:
Door wallum: Maar hoe leidt het uitvoeren van een zip-bestand nu tot besmetting?
Jouw vraag is vast niet serieus maar toch ga ik hem zo beantwoorden; doordat er gewoon een exe bestandje in zit 'verstopt'.

Verder is het verstandig om een mailcliënt te gebruiken die standaard alle externe inhoud in 'n e-mail blokt. Op die wijze kunnen bedrijven ook niet zien of jij hun mail wel of niet gelezen hebt.

Vraag was wel serieus, wij zijn eind mei besmet door deze ransomware en de betreffende gebruiker beweert met stelligheid dat er na het openen van het zip-bestand geen verkennervenster opende met de inhoud van het zip-bestand, maar dat er niets (zichtbaars) gebeurde. Ik vraag me dan ook af hoe de malware is uitgevoerd op het systeem, was het een nieuwe truc om tegelijk met het uitvoeren van een zip-bestand malware te executen? Het was in elk geval geen dubbele extensie (bestand.zip.exe) en deze truc was het ook niet:
https://www.security.nl/posting/33496/Detailweergave+redt+Windows-gebruikers
Ik heb de malware nog op m'n eigen PC geplaatst maar (zelfs!) Security Essentials plaatste het direct in quarantaine en ik heb te weinig ervaring met sandboxes e.d. om de malware nader te bekijken.

Ik vermoed dat gebruiker zich vergist en dat hij toch de inhoud van het zip-bestand heeft uitgevoerd. We waren er gelukkig snel bij, de backup was goed en de malware verkreeg geen adminrechten, dus de schade was te overzien. Het ging (hoogstwaarschijnlijk) om dit bestand:
https://www.virustotal.com/nl/file/8a3f8599988d50525fdae5c3d320e4ba68a3c223277d5aedfd7e553d57503fe2/analysis/
Symantec had de malware overigens niet herkend.
21-07-2015, 08:33 door Anoniem
Deze kreeg ik gisteren in mijn ongewenste mail:
Hierbij ook het e-mailadres die zij gebruiken, ik heb enkel mijn e-mailadres verwijderd.

Bijlage5309
IntrumWeb (infonl@intrum.com) Toevoegen aan contactpersonen Bijlage 20-7-2015
Aan: @hotmail.com
infonl@intrum.com
Van: IntrumWeb (infonl@intrum.com) Microsoft SmartScreen heeft dit bericht gemarkeerd als ongewenst.
Verzonden: maandag 20 juli 2015 2:25:38
Aan: @hotmail.com
Microsoft SmartScreen heeft dit bericht gemarkeerd als ongewenst en het wordt na tien dagen verwijderd.
Dit bericht is veilig!
Outlook.com Interactieve weergave
1 bijlage (728,1 kB)
Klikken voor opties
Bijlage5309.zip

Downloaden als zipOpslaan in OneDrive


Behandeld door : TransIP Domein Registratie
Direct tel. nr. : 088 - 452 71 31

Openstaande vordering,

Geachte mevrouw/heer.

In de bijgevoegde factuur verwijzen wij u naar de eerder ontvangen herinnering(en). Wij stellen u hierbij
de gelegenheid om het verschuldigde bedrag van €93,50 met rente binnen 14 dagen te voldoen op
ons IBAN-rekeningnummer NL50ABNA0471467210 t.n.v. St. Derdengeleden Intrum Justitia Nederland B.V.
onder vermelding van het referentienummer.


Blijft betaling uit, dan zijn wij genoodzaakt cliënt te adviseren om over te gaan tot het opstarten van een
gerechtelijke procedure. De kosten die hieruit voortvloeien zullen geheel voor uw rekening komen.
U kunt hiervoor de gegevens gebruiken die op de factuur staan vermeld. U kunt hier
ook terecht voor overige vragen.

Hoogachtend,

Intrum Justitia


De buitengerechtelijke incassokosten kunnen zijn verhoogd met btw in het geval dat de schuldeiser een niet
btw-plichtige ondernemer is in de zin van art. 7 en 11 van de Wet op de omzetbelasting 1968

Intrum Justitia Nederland BV Handelend onder de naam Intrum Justitia
Postbos 84096 2508 AB Den Haag H.R. Den Haag 27134582
BTW nr. NL008488666B01 Lid van NVI
21-07-2015, 12:17 door Anoniem
Door Anoniem: Alhoewel ik dit soort berichten op prijs stel, ben ik toch vaak teleurgesteld over de hoeveelheid informatie die wordt verstrekt.
Ik zou het waarderen als tenminste het e-mailadres van de afzender, alsmede de tekst in het onderwerp zou worden vermeld.
Zodoende kan men snel (spam)filters aanpassen o.b.v. deze gegevens.

Bedankt voor het lezen.

Het e-mail adres is dus infonl@intrum.com het echte adres van Intrum Justitia. Ik heb ze hier over gebeld en ze zeggen gewoon dat ze hier niets aan gaan doen.

Ik had vanmorgen zo een e-mail en zag het aan het telefoon nummer dat is niet het zelfde als op hun webside.

Ik vind dit een heel ernstige zaak want het is voor een normaal iemand niet te zien dat het een phishing mail is.
En het wotd weer met een dood doener afgedaan.
20-08-2015, 01:18 door Anoniem
Helaas heb ik dan een nep brief ontvangen wat moet ik hier mee doen?
01-09-2015, 10:46 door Anoniem
Door Anoniem: Ik heb inderdaad vanmorgen ook zo'n e-mail in mn mail inbox aangetroffen.Ben meteen naar de website van Intrum Justitia gegaan om e.e.a. te verifieeren,blijkt datzij zelf al waarschuwen voor deze valse e-mailtjes,rekeningnummer klopte niet met dat van de echte I.J. dus gedaan wat IJ al aanraadde,nl.niet openen en verwijderen. Zelfs al had ik de mail geopend en was mn pc besmet met ransomware besmet geraakt,ik ga echt niet betalen voor mn pc weer vrij te krijgen,het ding is ruim 7 jaar oud,met vista erop dus daar ga ik geen losgeld voor betalen (koop ik liever een nieuwe windows 10 pc!). Zoveel bijzonder belangrijks staat er ook niet op mn p,dus dat was ook geen groot verlies geweest..

De bestanden die met de "CTB locker" software zijn "versleuteld" krijg je nooit, ik herhaal, nooit meer terug! Als je overgaat tot betaling, hetgeen uiteraard de bedoeling is van deze criminelen, zal je zien dat de bestanden gewoon onleesbaar blijven. Heb je de pech dat je via de geïnfecteerde PC, drives kan benaderen op andere PC's (b.v. een "Z drive"), dan zijn deze bestanden ook "versleuteld" en blijvend onbruikbaar geworden. Nooit betalen dus, en alert blijven op "vreemde" e-mail!
06-09-2015, 22:48 door Anoniem
Door zeevis: Volgen mij moet het zij Stichting Derdegelden en niet Derdegeleden zijn. Hieruit blijkt duidelijk de nepmail.

In de nepmail die we gisteren ontvingen is deze tikfout hersteld. Dus de cybercriminelen bedanken u voor deze tip...
08-10-2015, 22:15 door Anoniem
Een andere gebruiker op dit forum vroeg naar de bijbehorende e-mail headers. Ik kreeg vandaag ook zo'n scam-mail binnen en heb de broncode hieronder gekopieerd.

Het bijgevoegde bestand heet FactuurXXXXXX.zip maar het is (volgens de Linux 'file' utility) 'RAR archive data, v1d, os: Win32'. Met File Roller kun je het ingepakte bestand bekijken, en dan zie je een FactuurXXXXXX.scr bestand. Dat kan blijkbaar voor Windows een startbaar ding met programmacode zijn, een screensaver of zoiets. Ik heb het verder maar niet uitgepakt om dat nog te kunnen testen. Ik heb ook geen Wine geïnstalleerd dus dan wordt het waarschijnlijk lastig om het draaiend te krijgen :-)


Return-path: <root@www.localdomain>
Envelope-to: xxxx@xxxxxxxxx.nl
Delivery-date: Thu, 08 Oct 2015 16:31:49 +0200
Received: from 165.8.dsl3.ip.foni.net (62.214.8.165 helo=www.localdomain)
by xxx.xxxxxxxxx.nl with esmtp (Exim 4.82)
(envelope-from <root@www.localdomain>)
id 1ZkCEX-0003js-1k
for xxxx@xxxxxxxxx.nl; Thu, 08 Oct 2015 16:31:49 +0200
Received: by www.localdomain (Postfix, from userid 0)
id 4AEF630DB00D; Thu, 8 Oct 2015 14:31:48 +0000 (UTC)
To: xxxx@xxxxxxxxx.nl
Subject: Openstaande Factuur
From: Intrum Justitia <incasso@intrum.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="==Multipart_Boundary_x0e5a92d58abdb2a0f522158b1cd7d002x"
Message-Id: <20151008143148.4AEF630DB00D@www.localdomain>
Date: Thu, 8 Oct 2015 14:31:48 +0000 (UTC)

Openstaande Factuur

--==Multipart_Boundary_x0e5a92d58abdb2a0f522158b1cd7d002x
Content-Type:text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

<!DOCTYPE html>
<html>
<body>
<p>

<font face="Verdana"><br>
<br>
Behandeld door &nbsp;&nbsp;: TransIP Domein Registratie<br>
Direct tel. nr.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;: 088 - 452&nbsp;71 31<br>
<br>
Openstaande vordering, <strong>BELANGRIJK!</strong><br>
<br>
Geachte mevrouw/heer.<br>
<br>
In de bijgevoegde factuur verwijzen wij u naar de eerder ontvangen herinnering(en). Wij stellen u hierbij <br>
de gelegenheid om het verschuldigde bedrag van <i>&euro;</i>93,50 met rente binnen 14 dagen te voldoen op<br>
ons IBAN-rekeningnummer NL50ABNA0471467210 t.n.v. St. Derdengeleden Intrum Justitia Nederland B.V. <br>
onder vermelding van het referentienummer.<br>
<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<br>
<br>
Blijft betaling uit, dan zijn wij genoodzaakt cli&#235;nt te adviseren om over te gaan tot het opstarten van een <br>
gerechtelijke procedure. De kosten die hieruit voortvloeien zullen geheel voor uw rekening komen.<br>
Voor directe betaling en meer informatie over deze vordering gaat u naar onze website <a href="http://www.intrum.com/nl/">www.intrum.nl</a><br>
U kunt hiervoor de gegevens gebruiken die op de factuur staan vermeld. U kunt hier<br>
ook terecht voor overige vragen.<br>
<br>
Hoogachtend,<br>
<br>
Intrum Justitia<br>
24-10-2015, 17:03 door Anoniem
Vandaag een email ontvangen van Intrum.

Bericht:
Welkom bij Intrum Justitia


Dossierinformatie
Naam opdrachtgever TELECOM B.V.
Status dossier Lopend
Behandelaar bij Intrum Justitia Afdeling Schuldbewaking
Telefoonnummer behandelaar 070 - 9951 708

Informatie:
http://intrum-nl.com/telecombv/infotelecombv.zip


Hier kunt u inloggen om uw aanmaning online te bekijken.
U ziet meteen de gegevens van uw aanmaning en u kunt direct via iDeal betalen. Daarnaast is het mogelijk om online te reageren of uw gegevens te wijzigen.
Het online reageren bevordert een vlotte behandeling van uw reactie. Ook vindt u diverse links die u kunnen helpen met informatie over schulden, betalingen en algemene voorwaarden. Staan er geen inloggegevens op uw aanmaning?
Neem dan contact op via het telefoonnummer in de brief.
Originele hoofdsom:


Vestigingsadres:
Johan de wittlaan 3
0361 JR Den Haag

Afzender: info(at)Intrum-nl.com

Bijlage niet bekeken.Was bijna te echt om fake te zijn. Gelukkig zag ik aan de postcode dat die niet klopt.
12-12-2015, 12:14 door Anoniem
Door wallum:
Door Anoniem:
Door wallum: Maar hoe leidt het uitvoeren van een zip-bestand nu tot besmetting?
Jouw vraag is vast niet serieus maar toch ga ik hem zo beantwoorden; doordat er gewoon een exe bestandje in zit 'verstopt'.

Verder is het verstandig om een mailcliënt te gebruiken die standaard alle externe inhoud in 'n e-mail blokt. Op die wijze kunnen bedrijven ook niet zien of jij hun mail wel of niet gelezen hebt.

Vraag was wel serieus, wij zijn eind mei besmet door deze ransomware en de betreffende gebruiker beweert met stelligheid dat er na het openen van het zip-bestand geen verkennervenster opende met de inhoud van het zip-bestand, maar dat er niets (zichtbaars) gebeurde. Ik vraag me dan ook af hoe de malware is uitgevoerd op het systeem, was het een nieuwe truc om tegelijk met het uitvoeren van een zip-bestand malware te executen? Het was in elk geval geen dubbele extensie (bestand.zip.exe) en deze truc was het ook niet:
https://www.security.nl/posting/33496/Detailweergave+redt+Windows-gebruikers
Ik heb de malware nog op m'n eigen PC geplaatst maar (zelfs!) Security Essentials plaatste het direct in quarantaine en ik heb te weinig ervaring met sandboxes e.d. om de malware nader te bekijken.

Ik vermoed dat gebruiker zich vergist en dat hij toch de inhoud van het zip-bestand heeft uitgevoerd. We waren er gelukkig snel bij, de backup was goed en de malware verkreeg geen adminrechten, dus de schade was te overzien. Het ging (hoogstwaarschijnlijk) om dit bestand:
https://www.virustotal.com/nl/file/8a3f8599988d50525fdae5c3d320e4ba68a3c223277d5aedfd7e553d57503fe2/analysis/
Symantec had de malware overigens niet herkend.


Wat moet je doen als je de zipfile van intrum justitia wel hebt aangeklikt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.