Security Professionals - ipfw add deny all from eindgebruikers to any

phishing ics

05-09-2016, 01:30 door Anoniem, 29 reacties
Binnenkort verwacht:

icsvalidatie.su
validatieics.su

ics = international card services (Nederlands bedrijf dat credit card diensten levert)
Reacties (29)
05-09-2016, 10:16 door Anoniem
Door Anoniem: Binnenkort verwacht:

icsvalidatie.su
validatieics.su

ics = international card services (Nederlands bedrijf dat credit card diensten levert)

Of 1 van de vele andere TLD mogelijkheden?

Wat is de toegevoegde waarde van deze informatie?
05-09-2016, 11:40 door Anoniem
wat moeten we hiermee?
05-09-2016, 12:56 door Anoniem
Oke. En nu?
05-09-2016, 13:20 door Anoniem
Door Anoniem:
Door Anoniem: Binnenkort verwacht:

icsvalidatie.su
validatieics.su

ics = international card services (Nederlands bedrijf dat credit card diensten levert)

Of 1 van de vele andere TLD mogelijkheden?

Wat is de toegevoegde waarde van deze informatie?

Je zit in de verkeerde rubriek. Dit is voor security professionals.

Nou vooruit dan: google eens op whois en kom dan terug om over je waardevolle ontdekking te vertellen.
05-09-2016, 14:28 door DanielG
Gelukkig heet iedereen Anoniem hier
06-09-2016, 07:05 door Erik van Straten
Door DanielG: Gelukkig heet iedereen Anoniem hier
Nee hoor ;-)

@TS: dank voor de melding!

Er lijkt nog geen website aanwezig te zijn. Desalniettemin:

Aanvankelijk (2016-09-05 00:00:25): 0/68
Gisteren (2016-09-05 10:05:56): 1/68 (Sophos)
Zojuist [1]: onveranderd

IP-adres lijkt nog steeds 154.16.205.3 te zijn (zie [2]).

[1] https://virustotal.com/en/url/8fd10da1257e7dcd274974807caf829a782a97c2af9070f3410c159576c50709/analysis/1473137658/
[2] https://virustotal.com/en/ip-address/154.16.205.3/information/
06-09-2016, 08:48 door [Account Verwijderd]
@Erik en TS, Dank!

Heb jullie informatie gemaild aan ICS (Ik heb daar een CreditCard)

Terzijde maar toch:
Het is wel weer opvallend dat je door een zooi ruis en bagger gaat (eerste 5 reacties) voor je bij de betekenisvolle reacties komt. Misschien is de oorzaak wel de erg summiere 'telegram stijl' van TS maar 'vanzelfsprekend ' is dat dé kapstok voor de vaste meute anonieme afbranders die altijd vooraan in de rij staan om hier hun bral en brol te spuien.
06-09-2016, 12:47 door Anoniem
Topic starter hier. Sorry voor de haastige post, het was kort omdat er niet veel informatie was op het tijdstip van posten; de domeinen waren vers. Wel duidelijk was dat deze domeinen geregistreerd zijn voor phishing op ics logins. Het is specifiek op Nederland gericht, dus het verdient wat aandacht op een Nederlandse security site.

Wat je als postmaster/netwerkbeheerder met deze info kan doen heb ik hier summier uitgelegd: https://www.security.nl/posting/484090/Wat+kunt+je+doen+om+een+ongewenst+domein_IP+te+weren%3F.
inclusief gratis extra spelfout ;)
06-09-2016, 23:31 door Anoniem
Hier vinden een voorbeeld van hetgeen u zoekt te blokkeren met een Suricata alert voor "Internal IP ET DNS Query for .su TLD (Soviet Union) Often Malware Related".

op: http://urlquery.net/report.php?id=1473034336331/
Goed geïncorporeerde IDS van deze Noorse request response-url scanner, waarvan akte.

Dank voor uw head-up aan allen.

luntrus
07-09-2016, 07:50 door karma4
TS Heel mooi dat je het onder de aandacht brengt. Zeker nuttig dat die informatie publiekelijk beschikbaar is.

Wat ik niet begrijp is:
1- Waarom je de melding niet bij icscards gedaan hebt.
Icscards lijkt me adequaat op signalen te reageren. Als ze dat niet gedaan hebben is dat een belangrijk signaal op zich.
2- Het hele verhaal om zelf actie te ondernemen om ip-nummers/domeinen uit te sluiten.
https://nl.wikipedia.org/wiki/International_Card_Services Nu onderdeel van ABN-AMRO (overheid).
Het heeft een sterke positie om ip nummers door providers te laten blokkeren en andere acties te ondernemen.
Daar kun je nooit tegenop met eigen acties op de te beperkte schaal van je eigen invloedssfeer.

Het weren van domeinen ip-nummers is natuurlijk een inbreuk op de privacy en vrijheid van meningsuiting. Zeker als het door machtige organen en overheidsinstanties gebeurt. In dit soort gevallen voor het inperken van criminelen heb ik daar echt geen moeite mee.
07-09-2016, 09:48 door Vandy
Door karma4:
Het weren van domeinen ip-nummers is natuurlijk een inbreuk op de privacy en vrijheid van meningsuiting. Zeker als het door machtige organen en overheidsinstanties gebeurt. In dit soort gevallen voor het inperken van criminelen heb ik daar echt geen moeite mee.
Maar wie bepaalt wat crimineel is? Erdogan een varken noemen, is dat bijvoorbeeld voldoende?
07-09-2016, 10:45 door Anoniem
MySQL loopt op die machinen.
poort 3306

http://154.16.205.3:3306/

En poort 25 smtp open alleen zit er authenticatie op.
Access denied - Invalid HELO name

Geen open smtp relay dus.

domain: VALIDATIEICS.SU
nserver: ns1.freedns.review.
nserver: ns2.freedns.review.
state: REGISTERED, DELEGATED
person: Private Person
e-mail: abuse@servicexcube.ru
registrar: R01-REG-FID

Hosted in the united states of mucia.
07-09-2016, 12:21 door Anoniem
Wat betreft het doen van meldingen aan de gedupeerde: ik (TS-er) ben daar voor en het moet zeker gebeuren.

In dit specifieke geval het zou niet nodig moeten zijn. een belanghebbende kan via een Google alert al direct op de hoogte zijn. Een goede domein monitoring service doet dit, evenals het in de gaten houden welke domeinen met de naam erin worden geregistreerd (een domein beschermingsdienst).

Overigens, waarschuwen is soms een riskante aangelegenheid.

Dit is de whois informatie:
domain: VALIDATIEICS.SU
nserver: ns1.freedns.review.
nserver: ns2.freedns.review.
state: REGISTERED, DELEGATED
person: Private Person
e-mail: abuse+apensteert+servicexcube.ru
registrar: R01-REG-FID
created: 2016.09.04
paid-till: 2017.09.04
free-date: 2017.10.07
source: TCI

(@ vervangen)

Wat je niet moet doen is een mail sturen naar het hier genoemde email adres. Dat hoort toe aan de phisher zelf en het is het contactadres tijdens de registratie van het domein. Het is duidelijk bedoeld om melders op een dwaalspoor te zetten en te laten denken dat het hier een officieel abuse adres betreft.

Hetzelfde zou tot op zekere hoogte kunnen gelden voor het waarschuwen van de IP block eigenaar. Dat zou wel eens een bullet proof hoster kunnen zijn, maar voor de vorm zou die wel actie kunnen nemen.

Er zijn diverse partijen die gewaarschuwd kunnen worden:
1. de registry (zone beheerder)
2. de registrar (domeinleverancier)
3. de DNS dienst provider
4. hoster(s)
5. de gedupeerde (financiële) instelling

Misschien wordt het door alle meldingen de phisher te heet onder de voeten en besluit die zijn ics phishing plannen niet meer uit te voeren of in de ijskast te zetten.

Bovenstaande gezegd hebbende, het is verreweg het meest effectief om op het eigen netwerk te filteren. Dit werkt direct en het is niet afhankelijk van de vaak langzame reactietijden van abuse desks - als die al hun werk goed doen of überhaupt bestaan.
07-09-2016, 12:59 door Anoniem
Ja het zou beter zijn als dergelijke entiteiten zouden kunnen worden gesinkholed.

Met een hosting in de USA zou dat moeten kunnen, van Russische zijde medewerking krijgen voor het onderuithalen van iets wat voor Russian Business Network wordt gehost (ja ook in ons landje bij kleine schimmige hostertjes in het donkere zuiden vooral) is helaas niet mogelijk. Ze moeten alleen bij de afgesproken activiteiten blijven en niet buiten hun boekje gaan.

Ben benieuwd hoe de kaarten nu liggen wat dit aangaat,nu de US of A het beheer over het Internet in feite heeft overgedragen en o.a. "Jeddah" het beheer tijdelijk voorzit. Misschien kan Erik van Straten over de juridische kant van zaken eens zijn licht laten schijnen.

Sinkholen is een precair specialisme, maar het is een enerverende bezigheid vooral als het automatisch gebeurt.
Men kan veel leren van een internationale specialist als de Wener, Peter Kleisner & partners in Praag, (nu met zijn bedrijf opgegaan in een andere firma).

Sinkholen heeft in een land als Polen bijvoorbeeld heel veel wat ongewenst was neergehaald. Het is zeker een instrument in handen der handhavers.

Voor de slimmeriken van RBN betekent dit echter dat zij direct meewerken na detectie en hun boeltje inpakken en migreren om elders weer hun oude activiteiten voort te zetten. Zelden 'leven" deze activiteiten op adressen erg lang en verhuist "het circus" van deze cybercriminele nomaden weer naar elders. Zucht...

Bedankt voor alle reacties in dit topic en een vriendelijke en gemeende groet aan de initiële poster.

Ik wens u veel veiligheid zowel online als offline.
07-09-2016, 13:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Binnenkort verwacht:

icsvalidatie.su
validatieics.su

ics = international card services (Nederlands bedrijf dat credit card diensten levert)

Of 1 van de vele andere TLD mogelijkheden?

Wat is de toegevoegde waarde van deze informatie?

Je zit in de verkeerde rubriek. Dit is voor security professionals.

Nou vooruit dan: google eens op whois en kom dan terug om over je waardevolle ontdekking te vertellen.

Dan had TS het beter direct bij ics kunnen melden.
En misschien meteen alle andere mogelijke varianten te claimen.
07-09-2016, 14:41 door Anoniem
Dan had TS het beter direct bij ics kunnen melden.
Ze hebben hier in Amsterdam een degelijk security team dat -niet onbelangrijk- ook nog heel makkelijk te bereiken is.
Mocht je een medewerker treffen die onvoldoende kundig is, is er altijd wel een collega die het wel snapt - of gemotiveert is om het te gaan snappen.
Verder zoeken ze zelf ook actief naar Phising en besteden dat niet enkel uit.

Nee, geen aandelen of belang in Visa, maar het mag best 'ns opgemerkt worden.
07-09-2016, 17:47 door Erik van Straten
07-09-2016, 12:59 door Anoniem: [...]
Misschien kan Erik van Straten over de juridische kant van zaken eens zijn licht laten schijnen.
[...]
Op juridisch gebied ben ik een leek, maar ik verwacht niet dat je iets tegen een domeinnaam als "icsvalidatie.su" kunt doen. Nb. ics.nl is niet eens van ICS Cards b.v. (icscards.nl).

Als domainnames als "icsvalidatie.su" verboden zouden zijn, kun je net zo goed "bing.com" uit de lucht laten halen (omdat de domainname eindigt op "ing.com"). Trouwens, websites als facebookinloggen.com worden ook niet uit de lucht gehaald.

Op z'n vroegst op het moment dat op http://icsvalidatie.su/ een phishingsite wordt getoond die suggereert een website van ICS Cards te zijn (mogelijk onder een ander IP-adres dan 154.16.205.3) is vermoedelijk pas sprake van een strafbaar feit (poging tot oplichting en/of identiteitsfraude). En wellicht is het zelfs nodig dat er aantoonbaar phishingmails zijn verzonden om slachtoffers naar die site te lokken; anders zou de eigenaar kunnen claimen dat het om een soort pentest gaat en het helemaal niet de bedoeling is om mensen te beroven.

Laatst heb ik overigens een phishingsite gezien die helemaal niet als twee druppels op de "echte" site leek (mensen die in phishingmails trappen letten wellicht ook niet op dat soort details). Dat zou het uit de lucht halen en/of pogingen tot vervolging wel eens kunnen bemoelijken.

Maar nogmaals, ik ben geen jurist!
07-09-2016, 19:52 door karma4
Door Vandy: Maar wie bepaalt wat crimineel is?
Vandy het is off-topic maar het antwoord is vrij eenvoudig omdat het niet zwart/wit is. Het wordt bepaald door de groep gemeenschap waar je deel uitmaakt. Ook in een criminele bende (mafia) gelden stricte regels net zoals er regels voor de staat (ook een groep) zijn. Dan merk je dat wat vanuit de een gangbaar verplicht is voor de ander crimineel is.
Om het democratisch te regelen (NL overheid) is er een heel stelsel van machten met wetten en regels. Deze veranderen door de tijd de onderlinge beïnvloedingen. Je mag blij zij dat je mag emigreren als een teken van vrijheid. In de gevallen met beperkingen is er iets niet pluis. Ik zoek de aansluiting meer als staatsburger EU gemeente etc dan aan de andere kant.
08-09-2016, 08:02 door karma4
maar ik verwacht niet dat je iets tegen een domeinnaam als "icsvalidatie.su" kunt doen.
Genoeg zaken gezien waar dat mogelijk is gebleken of zelfs doorgeschoten is. Als het verdienmodel nam de nieuwkomer Sex is en probeert mee te liften op een grote naam is er genoeg te vinden. Sexflix net in het nieuws.

Met de genoemde domeintegistraties is er duidelijk iets niet in de haak. Dat zal een Russische registrar niet interesseren. Daar komt de uitdaging.
08-09-2016, 23:53 door Anoniem
nl_applesecurelog_in.ath1.link
nl_applesecureglobalupdate.reg1.pro
nl_applesecurelog_in.reg1.pro
nl_applesecureglobalupdate.reg1.pro
loginsecuritysantanderaccount.ru
securitysantanderveiliglogin.ru
Alleen voor de laatste gaf DNS een IP-adres (46.183.219.69)
09-09-2016, 14:55 door Anoniem
http://urlquery.net/report.php?id=1473425258579
09-09-2016, 21:00 door Anoniem
Deze IP info is ook verhelderend: http://www.ip-finder.me/85.143.219.42/
Blacklisted: https://sslbl.abuse.ch/intel/1e0d5a4814e076940d602638385082d86b5678ec
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/sslbl_aggressive.ipset
https://gitlab.labs.nic.cz/turris/dist-fw-data/blob/b3fa1513361d98712a7b7533ae1a8e5c8edbafff/lists/00557B70.txt

en natuurlijk de Emerging Threats Alert List Daily Rules: https://www.proofpoint.com/us/daily-ruleset-update-summary-2015-12-11

domain: ICSVALIDATIE.SU
nserver: dns1.dnsxsystem.pw. *
nserver: dns2.dnsxsystem.pw.
state: REGISTERED, DELEGATED
person: Private Person
e-mail: abuse@servicexcube.ru
registrar: R01-REG-FID
created: 2016.09.04
paid-till: 2017.09.04
free-date: 2017.10.07
source: TCI

* host sailer hosted (hoofdkantoor in Dubai) -> http://toolbar.netcraft.com/site_report?url=http://dns1.dnsxsystem.pw
voor ns1.he.net krijg ik een 502 bad gateway alert. nginx/1.4.6 (Ubuntu) ze maken gebruik/misbruik van een tunnel broker dienst - freedns service: https://dns.he.net/ - Een firewall blokkeert externe verbindingen tot het Internet.
10-09-2016, 00:22 door Anoniem
Al geblokt: https://mxtoolbox.com/domain/icsvalidatie.su/
28-09-2016, 14:51 door Anoniem
Vandaag idd een phishingmail binnen gekregen met daarin een verificatielink die leidde naar icsvalidatie.su.
28-09-2016, 16:38 door Anoniem
Just received this, from International Card Services <amosoladele@mediaedge.com.ng>:

Geachte klant,

We hebben onregelmatige activiteiten ontdekt op uw ICS-creditcard.
Fout: 599500-60000

Als primaire contactpersoon moet u uw accountactiviteit verifiëren voordat u uw kaart verder kunt gebruiken en na de
verificatie zullen we alle op uw kaart gezette beperkingen opheffen.
Bekijk uw account zo snel mogelijk.

* Stappen om te recupereren:
1. Klik hier (http://icsvalidatie.su/pula.php) om naar onze beveiligde server geleid te worden.
2. Controleer uw facturatie-informatie om te bevestigen dat u de rechtmatige eigenaar van de account bent.

Als uw accountgegevens niet geüpdatet worden binnen 48 uur, zal de toegangsmogelijkheid tot uw account beperkt worden.
We appreciëren uw aandacht voor deze belangrijke aangelegenheid.
International Card Services B.V.

Met vriendelijke groet,

Ruben Vestigen
ICS Cards Nederland

Postadres:
Postbus 55225
1100 BT Diemen
28-09-2016, 18:06 door Anoniem
Ze zijn dus al volop actief met hun phishing mail campagne, lees meldingen her en der, bijvoorbeeld: https://www.fraudehelpdesk.nl/vragen-meldingen-cpt/nepmail-omloop-uit-naam-van-ics-validatie/

Zie verschillende IDS alerts hier: http://urlquery.net/report.php?id=1473425258579

Gelukkig al opgedoken in deze lijst: https://techhelplist.com/53-pastes

Heeft alle kenmerken van een RBN client, dus een CRIME-ONLY phishing domein.

Een gewaarschuwd IT-er telt dus voor twee, beste mensen.....
28-09-2016, 18:55 door Anoniem
Door Anoniem: wat moeten we hiermee?
als je hier niets mee wilt doen, dan gewoon doorklikken
28-09-2016, 21:58 door [Account Verwijderd] - Bijgewerkt: 28-09-2016, 22:03
Door Anoniem:
Door Anoniem: wat moeten we hiermee?
als je hier niets mee wilt doen, dan gewoon doorklikken

Je kunt er niets aan doen maar wel iets mee doen.
Doe ik al jaren:

Mail van 'ICS' ?
Even de zwetskoek/lariekoek lezen want: altijd goed voor de lachspieren.
Mail deleten, mailprogramma sluiten.
Webbrowser starten:
Ga
zelf
naar: https://www.icscards.nl/ics/login
Log in.
En dan check je
zelf
of er wat aan het handje is.
28-09-2016, 22:17 door [Account Verwijderd]
Door Anoniem: Just received this, from International Card Services <amosoladele@mediaedge.com.ng>:

Geachte klant,

We hebben onregelmatige activiteiten ontdekt op uw ICS-creditcard.
Fout: 599500-60000

Als primaire contactpersoon moet u uw accountactiviteit verifiëren voordat u uw kaart verder kunt gebruiken en na de
verificatie zullen we alle op uw kaart gezette beperkingen opheffen.
Bekijk uw account zo snel mogelijk.

* Stappen om te recupereren:
1. Klik hier (http://icsvalidatie.su/pula.php) om naar onze beveiligde server geleid te worden.
2. Controleer uw facturatie-informatie om te bevestigen dat u de rechtmatige eigenaar van de account bent.

Als uw accountgegevens niet geüpdatet worden binnen 48 uur, zal de toegangsmogelijkheid tot uw account beperkt worden.
We appreciëren uw aandacht voor deze belangrijke aangelegenheid.
International Card Services B.V.

Met vriendelijke groet,

Ruben Vestigen
ICS Cards Nederland

Postadres:
Postbus 55225
1100 BT Diemen

Ha ha!
Van 'steenkolen Nederlands' zijn ze overgestapt op Vlaams: recupereren
Leuk hoor!
Groot nieuws is overigens weer wel dat het hoofdkantoor van ICS is verhuisd naar de Sovjet Unie.
Dat heeft bakken geld gekost wat is gecompenseerd door terug te vallen op een http verbinding.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.