Security Professionals - ipfw add deny all from eindgebruikers to any

Phishing domeinen

04-06-2017, 13:50 door Anoniem, 12 reacties
Er zijn zaterdag weer diverse ru tld phishing domeinen geregistreerd, waaronder een aantal gericht op nederlandstalige ontvangers.

apple-validatie punt ru
appleverificatie punt ru
de-volksbank punt ru
fr-bnpparibas punt ru
icscards-validatie punt ru
ing-certificaat punt ru

Toe te passen op domein-, URL- en RPZ bloklijsten. Bijvoorbeeld in email filters, firewalls of name servers.

FAQ
* Dit is een bericht in de rubriek Security Professionals, d.w.z. niet voor eindgebruikers.
* Ik geef niet aan hoe ik hieraan kom. Domeinen zijn verifieerbaar via whois.
* Geef gerust aan hoe/waar phishing (al dan niet in specifieke gevallen) kan worden gemeld, voor algemeen belang.
* Het staat je vrij melding te doen bij banken, hosters, ru registry, domeinverkopers of registrars, overheid, etc. Wees voorzichtig met meldingen aan providers, die kunnen ze doorsturen naar de internetcriminelen zelf, inclusief jouw contactgegevens.
Reacties (12)
04-06-2017, 15:18 door SecGuru_OTX
Dank voor het delen, dit soort info is altijd waardevol.
04-06-2017, 15:40 door Anoniem
Goed gevonden, Poodle kwetsbaarheid op de Apache server misbruikt en pretcertificaat ellende via Lests Encrypt Authority X3 certificaat.

Het misbruik vindt plaats op AS61396 Okno-TV Ltd en geregistreed via webuzo dot com

San: -apple-validatie dot ru, -appleverificatie dot ru, -bankofamerica-100040. dot u, -de-volksbank dot ru, -deutschland-volksbank dot ru, -fr-bnpparibas dot ru,- icscards-validatie dot ru, -ing-2048bitscertificaat dot ru, -ing-certificaat dot ru, -ing-sslcertificaat dot ru, -mabanque-bnpparibas dot ru, -mijn.ing-2048bitscertificaat dot ru, -mijn.ing-sslcertificaat dot ru

Dank voor de "heads-up" voor deze nieuwe mogelijk refferer spam phishers.
04-06-2017, 22:40 door Anoniem
Doe daar de volgende domeinen maar bij.

bankofamerica-100040 punt ru
deutschland-volksbank punt ru
fr-bnpparibas punt ru
ing-2048bitscertificaat punt ru
ing-sslcertificaat punt ru
mabanque-bnpparibas punt ru
mijn.ing-2048bitscertificaat punt ru
mijn.ing-sslcertificaat punt ru
05-06-2017, 01:18 door Anoniem
Door Anoniem: Poodle kwetsbaarheid op de Apache server misbruikt en pretcertificaat ellende via Lests Encrypt Authority X3 certificaat.
Poodle is een man in the middle probleem. Heeft hier niets mee te maken.
05-06-2017, 13:34 door Anoniem
@ Anoniem van 01:18

Ik zeg niet dat Poodle het probleem is, lees je dat daar dan ergens expliciet uit? Heb ik echt niet zo gezegd, hoor.. Ik vond alleen de Poodle kwetsbaarheid bij de Let's Encrypt certificaat scan. Niets meer niets minder. Heeft hier inderdaad niets mee te maken, maar geeft wel aan dat er in het algemeen iets niet goed kan zitten betreffende de configuratie van de servers waarmee wordt gewerkt.

Voor de narigheid hebben we niet veel meer nodig dan een "vijfde kolonne", die allang binnen is. Een keer een bezoekje brengen bij de ING bank en je e-mail adres vermelden en je mail junk box loopt gegarandeertd later vol.

Gratis webmail diensten en gratis certificeringsdiensten, het heeft meer nadelen dan voordelen soms. Er wordt niet voor niets voor of zeg liever tegen gewaarschouwd.
05-06-2017, 20:33 door Anoniem
Door Anoniem: @ Anoniem van 01:18
Gratis webmail diensten en gratis certificeringsdiensten, het heeft meer nadelen dan voordelen soms. Er wordt niet voor niets voor of zeg liever tegen gewaarschouwd.

Hier haal je duidelijk wel de verschillen. Er zijn veel gratis webmail leveranciers die beter werken dan menige betaalde webdienst.
Maar met de gratis certificaatdiensten.... Daar is het Internet niet veiliger door geworden.
06-06-2017, 00:25 door Anoniem
Door Anoniem: Doe daar de volgende domeinen maar bij.

Goed opgemerkt, opgeschoond is dit de toevoeging op de in de TS genoemde domeinen:

bankofamerica-100040 punt ru
deutschland-volksbank punt ru
ing-2048bitscertificaat punt ru
ing-sslcertificaat punt ru
mabanque-bnpparibas punt ru

De phishers gebruiken DNS wildcards voor host namen. Daardoor kan elke willekeurige hostnaam worden gebruikt. Momenteel verwijst die naar een IP adres van Fastzone, een netwerk in Moskou.
06-06-2017, 09:03 door Anoniem
Door Anoniem: @ Anoniem van 01:18

Ik zeg niet dat Poodle het probleem is, lees je dat daar dan ergens expliciet uit? Heb ik echt niet zo gezegd, hoor.. Ik vond alleen de Poodle kwetsbaarheid bij de Let's Encrypt certificaat scan.
Je schreef poodle kwetsbaarheid misbruikt. Wees dan helder, om verwarring te voorkomen.
06-06-2017, 10:19 door Anoniem
Zie ook https://www.virustotal.com/en/ip-address/91.214.119.39/information/
06-06-2017, 16:28 door Anoniem
Vermoedelijk allemaal in combinatie met deze run;

https://www.fraudehelpdesk.nl/vragen-meldingen-cpt/ing-maakt-u-al-gebruik-van-een-2048-bits-certificaat/
08-06-2017, 13:04 door Anoniem
Gisteren geregistreerd:

nl-kpn punt ru
08-06-2017, 19:06 door Anoniem
Organisatie hierachter is IT Outsourcing LLC,
ssl-cert: Subject: commonName=ics-cards.ru
| Subject Alternative Name: DNS:abn-amro.su, DNS:ics-card.ru, DNS:ics-cards.ru, DNS:icscard.ru, DNS:nl-abnamro.ru, DNS:tikkie.su
| Not valid before: 2017-05-25T06:00:00
|_Not valid after: 2017-08-23T06:00:00
|_ssl-date: 2017-06-08T16:50:06+00:00;
You have 1 error
Wrong certificate installed.
The domain name does not match the certificate common name or SAN.
Warnings
RC4
Your server's encryption settings are vulnerable. This server uses the RC4 cipher algorithm which is not secure. More information.
SSLv3
Your server's encryption settings are vulnerable. This server uses the SSLv3 protocol, which is not secure. More information.
This server is vulnerable to:
Poodle (SSLv3 protocol)
This server is vulnerable to a Poodle (SSLv3) attack. More information.

Hostname 185.159.129.225 AS64439 Dit AS nummer bestaat kennelijk nog niet en er bestaan geen rapporten over.
De ellende stamt van -http://i.cdnpark.com/themes/registrar/401543.css dat gelukkig voor mij geblokkeerd wordt.
Ook betrokken schijnt : https://static.xx.fbcdn.net/ Dus de ellende stamt weer uit het land van "the bold and the free" en niet zoals we allemaal dachten & wel op het eerste oog tzien met de verzuchting: Het zijn weer de "Ruzzjens". Misschien ook wel maar dan toch altijd nog wel via IT Outsourcing LLC, Gaston, OR, USA. Leuke truuk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.