KPN waarschuwt voor phishingmail met ransomware
KPN waarschuwt internetgebruikers voor een phishingmail die al een aantal dagen wordt verstuurd en een kwaadaardige rar-bijlage met ransomware bevat. De e-mail heeft als onderwerp "Uw factuur internetdiensten" en zou van no-reply@kpnmail.nl afkomstig zijn.
Volgens de e-mail heeft de ontvanger een factuur van enkele honderden euro's. Meer informatie zou via de meegestuurde e-mailbijlage zijn te vinden. Het gaat om een rar-bestand met de naam Factuur gevolgd door een lang getal. In het rar-bestand bevindt zich een gelijk genaamd bestand eindigend op .pdf.exe. Omdat Windows standaard geen bestandsextensies laat zien, zouden gebruikers kunnen denken dat het om een pdf-document gaat, terwijl het in werkelijkheid een uitvoerbaar bestand is. Van de 55 virusscanners op VirusTotal wisten er 10 de kwaadaardige bijlage te detecteren. De uiteindelijke malware werd door 4 van de 55 virusscanners herkend.
Uit de naamgeving van de verschillende anti-virusbedrijven wordt niet duidelijk om wat voor malware het precies gaat, maar Mark Loman van beveiligingsbedrijf Surfright meldt dat het om de CTB-Locker-ransomware gaat, die bestanden voor losgeld versleutelt. CTB-Locker is in het verleden vaker gebruikt om Nederlandse internetgebruikers aan te vallen. Op Twitter sloegen verschillende gebruikers alarm vanwege de e-mail. KPN laat weten dat het geen berichten vanuit een kpnmail-account verstuurt en adviseert de e-mail te verwijderen.
Reacties (33)
Kreeg zojuist de factuur (wel echte factuur) van KPN. Niet zo handige timing lijkt, schrok even dat ik ook gepakt was maar valt mee :-)
KPN stuurt uit kpn.com domein.
KPN stuurt uit kpn.com domein.
vreemd dat ze een *.rar bestand gebruiken i.p.v. een *.zip bestand wat door vrijwel iedereen geopend kan worden.
Interressant dat Loman's werkgever (Sophos) het niet detecteert:
https://www.virustotal.com/nl/file/c17c7a041df85fc5d64aec6be90cb3cf1236d4593e56a38c9f0c65c82fbe04b4/analysis/1457444874/
https://www.virustotal.com/nl/file/c17c7a041df85fc5d64aec6be90cb3cf1236d4593e56a38c9f0c65c82fbe04b4/analysis/1457444874/
Het lijkt op phishing, maar dat is het niet. Dit is "gewoon" social engineering om malware te laten openen.
Zie https://en.wikipedia.org/wiki/Phishing
Phishing is the attempt to acquire sensitive information such as usernames, passwords, and credit card details (and sometimes, indirectly, money), often for malicious reasons, by masquerading as a trustworthy entity in an electronic communication.
Komt toch aardig overeen.
Phishing is the attempt to acquire sensitive information such as usernames, passwords, and credit card details (and sometimes, indirectly, money), often for malicious reasons, by masquerading as a trustworthy entity in an electronic communication.
Komt toch aardig overeen.
KPN laat weten dat het geen berichten vanuit een kpnmail-account verstuurt en adviseert de e-mail te verwijderen.
Waarom zetten ze dan geen SPF -all op dat domein!?!b.
Door Anoniem:
b.
KPN laat weten dat het geen berichten vanuit een kpnmail-account verstuurt en adviseert de e-mail te verwijderen.
Waarom zetten ze dan geen SPF -all op dat domein!?!b.
Je kunt alleen een strakke SPF policy voor een domein hanteren als je erg zeker bent dat alle mail met dat domein als afzender vanaf de set toegelaten mailservers verstuurd wordt.
Een mogelijke reden is als je veel klanten hebt die @kpnmail.nl als afzender ingesteld hebben maar dat via andere mailserver (gmail , eigen hosted servertje etc) naar buiten sturen. Die gebruikers dupeer je die heel erg met een strakke SPF policy.
Door Anoniem: [Je kunt alleen een strakke SPF policy voor een domein hanteren als je erg zeker bent dat alle mail met dat domein als afzender vanaf de set toegelaten mailservers verstuurd wordt.
Een mogelijke reden is als je veel klanten hebt die @kpnmail.nl als afzender ingesteld hebben maar dat via andere mailserver (gmail , eigen hosted servertje etc) naar buiten sturen. Die gebruikers dupeer je die heel erg met een strakke SPF policy.
Een mogelijke reden is als je veel klanten hebt die @kpnmail.nl als afzender ingesteld hebben maar dat via andere mailserver (gmail , eigen hosted servertje etc) naar buiten sturen. Die gebruikers dupeer je die heel erg met een strakke SPF policy.
Dat ligt er aan van welke kant je het bekijkt. Volgens mij help je de gebruikers juist als je het door hun gebruikte domein beter beschermt. Ze moeten dan wel de smtp instellingen in hun mailserver instellen.
Toevallig overkwam mij dat een paar maand geleden. Een van mijn mail accounts heeft ook plots een SPF policy ingevoerd (soft fail) waardoor mijn mail een hogere spamscore kreeg. Nu stuur ik die mail via hun smtp server i.p.v. mijn eigen.
Ziggo gebruikt ook al tijden een SPF record. Bij die provider zitten ook vee 'minder technische gebruikers' die hier geen probleem mee hebben. Staat wel op 'soft fail'.
Door Anoniem: Zie https://en.wikipedia.org/wiki/Phishing
Phishing is the attempt to acquire sensitive information such as usernames, passwords, and credit card details (and sometimes, indirectly, money), often for malicious reasons, by masquerading as a trustworthy entity in an electronic communication.
Komt toch aardig overeen.
Phishing is the attempt to acquire sensitive information such as usernames, passwords, and credit card details (and sometimes, indirectly, money), often for malicious reasons, by masquerading as a trustworthy entity in an electronic communication.
Komt toch aardig overeen.
Nee, het komt niet overeen. Er wordt niet om een wachtwoord gevraagd of credit card nummers. Dat is wel phishing.
Het laten openen van malware is geen phishing.
Door Anoniem: vreemd dat ze een *.rar bestand gebruiken i.p.v. een *.zip bestand wat door vrijwel iedereen geopend kan worden.
Een rar bestand zou door een spamfilter heen kunnen komen, een zip bestand minder snel
Deze mails gaan al weken rond. Vreemd dat KPN nu pas haar klanten inlicht.
Als ze dan toch hun klanten willen waarschuwen:
Ik kreeg gisteren voor KPN en Ziggo Nederlandstalige phishing mails binnen met het verzoek de automatische incassogegevens opnieuw aan te leveren en daarna alle bankaccountgegevens.
Domeinnamen van de phishing sites lijken niets met KPN of Ziggo te maken te hebben maar gehacked te zijn. Phishing pagina's op de site zijn wel aangemaakt in de stijl van bijvoorbeeld KPN en daarna van de gekozen bank.
Als ze dan toch hun klanten willen waarschuwen:
Ik kreeg gisteren voor KPN en Ziggo Nederlandstalige phishing mails binnen met het verzoek de automatische incassogegevens opnieuw aan te leveren en daarna alle bankaccountgegevens.
Domeinnamen van de phishing sites lijken niets met KPN of Ziggo te maken te hebben maar gehacked te zijn. Phishing pagina's op de site zijn wel aangemaakt in de stijl van bijvoorbeeld KPN en daarna van de gekozen bank.
09-03-2016, 11:40 door
devias
Door Anoniem:
b.
KPN laat weten dat het geen berichten vanuit een kpnmail-account verstuurt en adviseert de e-mail te verwijderen.
Waarom zetten ze dan geen SPF -all op dat domein!?!b.
Een betere vraag: Waarom gebruiken ze geen DMARC? Dat is al meerdere jaren uitgekrisalliseerd en zou hiertegen beschermen.
Door devias:
Een betere vraag: Waarom gebruiken ze geen DMARC? Dat is al meerdere jaren uitgekrisalliseerd en zou hiertegen beschermen.
Door Anoniem:
b.
KPN laat weten dat het geen berichten vanuit een kpnmail-account verstuurt en adviseert de e-mail te verwijderen.
Waarom zetten ze dan geen SPF -all op dat domein!?!b.
Een betere vraag: Waarom gebruiken ze geen DMARC? Dat is al meerdere jaren uitgekrisalliseerd en zou hiertegen beschermen.
DMARC indicatie dat DKIM / SPF gebruikt moet worden vereist dat alle mail door "de" uitgaande mailservers voor het domein verloopt.
Als je met de situatie zit dat veel mensen het domein als afzender gebruiken via andere mailservers sturen die mensen opeens allemaal "spam" volgens hun (dmarc controlerende) ontvangers.
Dat is een mogelijke verklaring waarom voor een end-user access provider "ff spf/dkim/dmarc" niet zo simpel is.
Door devias:
Een betere vraag: Waarom gebruiken ze geen DMARC? Dat is al meerdere jaren uitgekrisalliseerd en zou hiertegen beschermen.
Een betere vraag: Waarom gebruiken ze geen DMARC? Dat is al meerdere jaren uitgekrisalliseerd en zou hiertegen beschermen.
Voor (sub)domeinen waarvan ik weet dat ze nooit mail versturen zet ik altijd SPF -all (en sinds kort DMARC reject) omdat dan al voor data kan worden gereject.
Ik realiseerde me even niet dat kpnmail.nl wordt gebruikt door klanten van KPN en dan is -all misschien te strak... alhoewel ik er een groot voorstander van ben dat mail via de "juiste" server wordt verstuurd.
Als je mail verstuurd via bijv. gmail en het antwoord op je kpnmail adres wilt, kun je beter Reply-To gebruiken.
b.
Ik heb geen KPN account en toch krijg ik phishing mails KPN,waar halen die hufters je mailadres vandaan.
Ook ik krijg vele mails die echt lijken, ik weet dat ik een vast bedrag per maand heb. Je schrikt wel even, maar gelijk de boel verwijderd. Gelukkig ben ik niet nieuwsgierig dat ik daar in trap
KPN [no-reply@kpnmail.nl] Ook kregen wij hier een nepmail incl rekening terwijl we geen klant zijn bij KPN
Let op:
In mijn geval (16 maart 2016) was het geen .RAR bestand, maar een net zo gevaarlijk .ZIP bestand!
gr. Erik
In mijn geval (16 maart 2016) was het geen .RAR bestand, maar een net zo gevaarlijk .ZIP bestand!
gr. Erik
Wij hebben het geopend en alles zit nu op slot. CTB locker op de achtergrond en de PC is geïnfecteerd. Is er iets aan te doen?
Groeten Bas
Groeten Bas
Door Anoniem: Kreeg zojuist de factuur (wel echte factuur) van KPN. Niet zo handige timing lijkt, schrok even dat ik ook gepakt was maar valt mee :-)
KPN stuurt uit kpn.com domein.
KPN stuurt uit kpn.com domein.
Je zegt wel dat KPN stuurt vanuit een kpn.com domein maar ik ontving daarstraks onderstaande mail op een account die ik alleen voor mijn stamboomonderzoek gebruik.
Afzender was: noreply@kpn.com
Onderwerp: Uw factuur
Je kunt op de link kpn.nl/zakelijkefactuur klikken om de factuur in te zien. Maar als je daar je cursor boven houd dan zie je dat je geleid wordt naar http://telbiur.com.pl/kpn
Beetje vreemd en zeker aangezien ik helemaal geen zakelijk internet heb, niet bij kpn en ook niet bij een andere provider.
Dus ook met emails afkomstig van kpn.com zou ik eerst goed bekijken en niet klakkeloos klikken op een link die erin staat. Simpel cursor boven de link (zonder klikken uiteraard) en dan zie je links onderin je scherm verschijnen waar je naartoe geleid wordt.
KPN
Factuur Zakelijk Internet
Geachte heer/mevrouw,
Bijgaand ontvangt u uw factuur van KPN.
Hebt u nog vragen?
Kijk op kpn.nl/zakelijkefactuur. U vindt hier uitleg over uw factuur en kunt er chatten met een van onze medewerk ers. Zij helpen u graag.
Met vriendelijke groet,
Joost Steltenpool
Directeur Products & Marketing
Zakelijke Markt
Ook ik ontving een dergelijke e-mail vanaf een kpn.com-domein, namelijk KPN-betaalafspraak@kpn.com. Inhoudelijk was de e-mail vrijwel gelijk aan het voorbeeld uit het artikel. Verzending vanuit een kpn.com-domein is dus klaarblijkelijk geen garantie dat de e-mail ook afkomstig is van KPN.
ook ik heb vandaag 5 Mei een soortgelijke mail ontvangen.
Niets mee gedaan uit voorzorg.
Ook KPN-betaalafspraken@kpn.com gebruikt.
Niets mee gedaan uit voorzorg.
Ook KPN-betaalafspraken@kpn.com gebruikt.
helaas heb ik wel ingelogd en al mijn prive bestanden fotos en pdfs waren inleesbaar in de files waren bestanden gecopeerd op de datum van de aanval en na deleten van deze bestanden was alles onleesbaar
eeerst betalen dan kan je alles repareren met een code was de opracht. jammer voor hen em ij voor hun geen geld
eeerst betalen dan kan je alles repareren met een code was de opracht. jammer voor hen em ij voor hun geen geld
Vandaag (7 mei '16) ook email ontvangen van "KPN-betaalafspraken@kpn.com". Dit is wel erg verraderlijk daar de hoofsite van de KPN op https://www.kpn.com draait. DUS je ontvangt phishing emails van een KPN domein!!!
Heb vandaag weer een soortgelijke mail ontvangen ( 05-05-2016 ook al, zie melding 05-05-2016 om 15:32)
Nu alleen een heel oud mailadres gebruikt.
Bovendien gebruik ik geen kpn diensten.
Het blijft oppassen.
Nu alleen een heel oud mailadres gebruikt.
Bovendien gebruik ik geen kpn diensten.
Het blijft oppassen.
Ik heb ook meerdere mails ontvangen van kpn-betaalafspraak@kpn.com. Maar ook enkelen van kpn.com over facturen en dan een link aanklikken om die te zien. Ik durf ze niet meer te openen....
Wanneer de CTB locker zich heeft geïnstalleerd op de pc en dit onklaar kan worden gemaakt middels betaling, is mijn vraag hebben mensen betaald? Alle bestanden weer bruikbaar? Ik zou nu 650 euro over moeten maken. Wie heeft ervaring met betalen en de afloop ervan?
Hallo kreeg zojuist het zelfde mailtje al zie hierboven heb het meteen verwijdert
Ik heb een vraag.Zelf ben ik niet zo technisch onderlegd wat betreft computers, maar ik kreeg vanavond een mail van KPN " uw factuur".Ik wist dat dit een pishingmail is en zeer zeker niet van de KPN zelf afkomstig is ( ik ben geeneens klant daar), en normaal gesproken gooi ik deze mail meteen weg.
Als emailprogramma gebruik ik " Thunderbird" , en deze is zo ingesteld dat ik moet dubbelklikken op de binnengekomen mail om deze te lezen; bij een enkele klik wordt het onderwerp en afzender blauw gemaakt, en dan je deze bijv. deleten.
Nu wilde ik deze mail doorsturen naar de fraudehelpdesk, en klikte met mijn rechtemuisknop op "doorsturen" .Ik plotseling zag ik, doordat ik deze mail wilde doorsturen, dat Thunderbird deze mail ( maar niet de bijlage) had geopend, waardoor ik kon lezen dat er een bepaald bedrag van in de honderden euro's, openstond,en kon raadplegen op bijgesloten factuur.
Factuur heb ik uiteraard niet geopend, meteen gestopt en deze mail weggegooid.
Mijn vraag is nu ( heb het al eens eerder meegemaakt met hotmail, daar kreeg ik eens een "politievirus" doordat hotmail een pishingmail wel meteen opende, inclusief bijlage), moet ik nu vrezen dat mijn computer gegijzeld gaat worden met ransomware?
De bijlage is bij mij weten niet geopend toen ik de mail wilde doorsturen vanaf mijn gewone email naar fraudehelpdesk.
Ik heb overigens meteen mijn virusscanner Norton erop los gelaten.
Als emailprogramma gebruik ik " Thunderbird" , en deze is zo ingesteld dat ik moet dubbelklikken op de binnengekomen mail om deze te lezen; bij een enkele klik wordt het onderwerp en afzender blauw gemaakt, en dan je deze bijv. deleten.
Nu wilde ik deze mail doorsturen naar de fraudehelpdesk, en klikte met mijn rechtemuisknop op "doorsturen" .Ik plotseling zag ik, doordat ik deze mail wilde doorsturen, dat Thunderbird deze mail ( maar niet de bijlage) had geopend, waardoor ik kon lezen dat er een bepaald bedrag van in de honderden euro's, openstond,en kon raadplegen op bijgesloten factuur.
Factuur heb ik uiteraard niet geopend, meteen gestopt en deze mail weggegooid.
Mijn vraag is nu ( heb het al eens eerder meegemaakt met hotmail, daar kreeg ik eens een "politievirus" doordat hotmail een pishingmail wel meteen opende, inclusief bijlage), moet ik nu vrezen dat mijn computer gegijzeld gaat worden met ransomware?
De bijlage is bij mij weten niet geopend toen ik de mail wilde doorsturen vanaf mijn gewone email naar fraudehelpdesk.
Ik heb overigens meteen mijn virusscanner Norton erop los gelaten.
Hoe Kong het dat ik ninja iedere 3 werken het elide nepmailtje ontvang, van dezelfde afzender? Was rom wordt hier niets aan gedaan, is dit niet strafbaar?
Constant Raes
Constant Raes
Help, ik kan niks meer lezen. Ze hebben de boel geblokkeerd, wat kan ik doen.
Binnen 5 uur actie ondernemen, anders ben ik alles kwijt, staat er!
Alles is encrypted
Mvg,
Wesley Landkoer
Binnen 5 uur actie ondernemen, anders ben ik alles kwijt, staat er!
Alles is encrypted
Mvg,
Wesley Landkoer
Door Anoniem: Vandaag (7 mei '16) ook email ontvangen van "KPN-betaalafspraken@kpn.com". Dit is wel erg verraderlijk daar de hoofsite van de KPN op https://www.kpn.com draait. DUS je ontvangt phishing emails van een KPN domein!!!
Wat ik erg jammer vind van een organisatie als KPN is dat ze de SPF record voor kpn.com niet op orde hebben.
De record ziet er als volgt uit: "v=spf1 ?all" Wat feitelijk betekent dat iedereen een valide sender IP heeft als er vanuit het kpn.com domein wordt gestuurd.
Dus... de hele wereld kan uit naam van kpn.com sturen zonder dat een SPF check ervoor waakt.
Zo geef je in feite de mensen die hier misbruik van maken een 'carte blance' om je domain te misbruiken.
Just my cup of tea...
Gisteravond (18-9-2016) mail - waarschijnlijk malware - waarin op een bedrieglijk mooie site wordt aangeboden om je WiFi-verbinding te verbeteren. Er wordt alleen gevraagd naar de laatste drie cijfers van je bankrekening, daarna zu het programma de KPN modem restetten. Dat wordt inderdaad geprobeerd, maar mislukt herhaaldelijk. Dan wordt gevraagd om een handmatige resetting. Even verschijnt een beeld waarin een KPN (??)- WiFi versterker wordt aangeboden, maar dat verdwijnt daarna snel met de boodschap dat de WiFi-vebinding uitstekend is en dat resetting niet nodig was (?) Er wordt een klachtenbox aangeboden, maar die zegt dat er nog 1 wachtende voor mij is. Snel afgesloten, hercontrole met antivirus en antispyware, maar geen schade zichtbaar. Wat was dit - ransomware? Of toch een ultime poging om te hacken?
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.