Security Professionals - ipfw add deny all from eindgebruikers to any

Over "Afpersingsmail dreigt met openbaar maken intieme privébeelden"

26-03-2018, 07:02 door Anoniem, 9 reacties
ALS U EEN DERGELIJK BERICHT HEEFT ONTVANGEN, NEGEER HET DAN, HET IS VALS EN EEN POGING TOT OPLICHTING. ER IS GEEN BEELDMATERIAAL VAN U IN BEZIT VAN DE VERZENDER.

De rest van dit bericht is bestemd voor security professionals die deze emails willen detecteren op hun mail scanner:

Deze mail wordt in dit bericht:
https://www.security.nl/posting/553342/Afpersingsmail+dreigt+met+openbaar+maken+intieme+priv%C3%A9beelden weergegeven als plaatje.

Als je het als tekst zou willen detecteren zal dat niet zomaar gaan. De aanvaller gebruikt windows-1251, wat een cyrillische karakterset is. De maker van deze phishing mails heeft de ASCII letter 'a' vervangen door de cyrillische kleine letter 'a', ofwel code E0 hexadecimaal. De fileformat site toont deze letter:
http://www.fileformat.info/info/charset/windows-1251/list.htm.

Dezelfde wisseltruuk is gebeurt met 'c' en de cyrillische kleine letter 'c' (windows-1251 code = F1). Idem met 'B' voor de cyrillische hoofdletter 'B' (windows-1251 code = C2)

Hieronder staat het MIME onderdeel met de phishing tekst. Omdat de bitcoincode van belang is voor detectie laat ik die niet achterwege. Die code is op zichzelf niet schadelijk, dus er is geen reden hem niet te vermelden.

De quoted printable encoding van windows-1251 gebruikt voor de letter '?' is '=E0', etc.

Houdt er rekening mee dat de tekst mogelijk niet binair identiek is aan het origineel.


Content-Type: text/html; charset="windows-1251"
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

<html><head>
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Dutf-=
8">
</head>
<body><p>Goedemidd=E0g,</p><p><br>Ik wil niem=E0nd veroordelen en ik d=
enk niet d=E0t het verkeerd is om jezelf v=E0n tijd tot tijd te bevred=
igen m=E0=E0r =E0ls je n=E0=E0sten hier getuige v=E0n zijn is dit n=E0=
tuurlijk een grote s=F1h=E0nde.</p><p><br>Ik hou je =E0l een tijdje in=
de g=E0ten omd=E0t ik je geh=E0=F1kt heb door middel v=E0n een troj=E0=
n virus in een =E0dvertentie op een porno website. Indien je hier niet=
bekend mee bent z=E0l ik dit even toeli=F1hten. Een troj=E0n virus ge=
eft je de volledige toeg=E0ng en =F1ontrole over een =F1omputer, of el=
k =E0nder =E0pp=E0r=E0=E0t. Dit houd in d=E0t ik =E0lles op je s=F1her=
m k=E0n zien en je =F1=E0mer=E0 en mi=F1rofoon k=E0n ins=F1h=E0kelen z=
onder d=E0t jij hierv=E0n op de hoogte bent. Zo heb ik ook toeg=E0ng g=
ekregen tot =E0l je =F1ont=E0=F1tpersonen.</p><p>Ik heb een video gem=E0=
=E0kt w=E0=E0rop te zien is hoe jij jezelf bevredigt op de linker helf=
t v=E0n het s=F1herm en op de re=F1hter helft zie je de video w=E0=E0r=
jij n=E0=E0r keek. Met een druk op de knop k=E0n ik deze video doorst=
uren n=E0=E0r =E0lle =F1ont=E0=F1tpersonen v=E0n je em=E0il en so=F1i=E0=
l medi=E0.</p><p><strong>&nbsp;<br>Als je dit wil voorkomen m=E0=E0k j=
e een bedr=E0g v=E0n 500 euro over n=E0=E0r mijn bit=F1oin =E0dres.</s=
trong></p><p><br>St=E0p 1: G=E0 n=E0=E0r <a href=3D"http://www.coinbas=
e.com">www.=F1oinb=E0se.=F1om</a> en m=E0=E0k een =E0=F1=F1ount =E0=E0=
n.<br>St=E0p 2: =C2evestig je =E0=F1=F1ount d.m.v. je p=E0spoort of ID=
=2E<br>St=E0p 3: Stort het geld op je =F1oinb=E0se bit=F1oin =E0=F1=F1=
ount vi=E0 je =F1redit=F1=E0rd of rekening.<br>St=E0p 4: Verzend de bi=
t=F1oins n=E0=E0r onderst=E0=E0nd bit=F1oin =E0dres:</p><p><strong><br=
>14pQJ2QoiFYM7GMYfvWcNsg8DQMwSvZc76<br></strong></p><p><br>Zodr=E0 de =
bet=E0ling binnen is wis ik de video en hoor je nooit meer v=E0n mij. =
Ik geef je <strong>3 d=E0gen</strong> de tijd om de bet=E0ling over te=
m=E0ken. D=E0=E0rn=E0 weet je w=E0t er gebeurt. Ik k=E0n het zien =E0=
ls je de em=E0il hebt gelezen.</p><p>A=E0ngifte doen heeft geen zin, d=
eze em=E0il is n=E0melijk op geen enkele m=E0nier te tr=E0=F1eren en m=
ijn bit=F1oin =E0dres ook niet. Ik m=E0=E0k geen fouten. Als ik er=E0=F1=
hter kom d=E0t je to=F1h =E0=E0ngifte hebt ged=E0=E0n of dit beri=F1ht=
met iem=E0nd =E0nders hebt gedeeld z=E0l de video dire=F1t verspreid =
worden.</p><p><br>=CDet delen v=E0n dit beri=F1ht z=E0l er n=E0tuurlij=
k ook voor zorgen d=E0t =E0nderen dit g=E0=E0n kopieren en d=E0n kom j=
e v=E0nzelf weer =E0=E0n de beurt.</p><p><br>De groeten!</p></body></h=
tml>

Received header (deels):
Received: from [80.78.248.197] (helo=betalen.com) [verwijderd]

Dit IP is Russisch en behoort toe aan reg.ru hosting.

From header:
From: "Michael" <noreply@ziggo.nl>

Ziggo detecteerde dit spambericht niet:
X-Ziggo-spambar: /
X-Ziggo-spamscore: 0.0
X-Ziggo-spamreport: CMAE Analysis: v=2.3 cv=[verwijderd]
none
X-Ziggo-Spam-Status: No
X-Spam-Status: No
X-Spam-Flag: No

"betalen.com" is een domein dat wordt gebruikt in de server naam en message id. Het is niet de echte afzender.
Reacties (9)
26-03-2018, 11:28 door Anoniem
Gelukkig nog nooit ontvangen. Google heeft zijn spamfilters gewoon goed werkend. Het aantal spam berichten is gewoon minimaal.

Menig email bedrijf kan daar nog wat van leren.
26-03-2018, 11:35 door Anoniem
Dank voor de waarschuwing. Ik kreeg dezelfde mail in mijn inbox vanmorgen. Uiteraard gewoon gedeletet.
26-03-2018, 11:43 door Anoniem
Aangifte doen!
26-03-2018, 13:04 door Anoniem
hallo,ik ook deze mail ontvangen en wist niet wat ik er mee aanmoest,
bij google zoekterm ingevuld en kwam bij meldpunt terecht,
naar het blijkt ben ik dus niet de enigste,
op het meldpunt al veel reacties m.b.t. deze zelfde mail,
dat geeft dan weer wat rust, maar men vermeld niet hoe om te gaan met dergelijke mail,
dus deze 'post' op security.nl is goede bevestiging dan wel informatie,
bedankt voor uw tijd en energie.
26-03-2018, 14:00 door Anoniem
" Ik m=E0=E0k geen fouten."


Welkom op de publieke tribune!
27-03-2018, 14:30 door Anoniem
Dank, zonder deze waarschuwing was ik vast getrapt in zo'n email, m.b.t. mijn intieme prive beelden. Ohnee, ik maak dat soort beelden niet. Waardoor het per definitie ongeloofwaardig is.
27-03-2018, 15:36 door Anoniem
Door Anoniem: Gelukkig nog nooit ontvangen. Google heeft zijn spamfilters gewoon goed werkend. Het aantal spam berichten is gewoon minimaal.

Menig email bedrijf kan daar nog wat van leren.

Dat kan zijn maar het nadeel daarvan is dan weer dat Google mails als spam kenmerkt die helemaal geen spam zijn.
Je ziet dan weinig spam berichten maar je mist ook legitieme mail.
Dat is altijd de afweging bij spam detectie: als je spam heel goed wegwast gooi je ook legitieme mail weg.
(of komt die in een spam map waar de gebruiker haast nooit kijkt)
27-03-2018, 16:26 door Anoniem
Houdt er rekening mee dat de tekst mogelijk niet binair identiek is aan het origineel.

plaats het dan ook niet
en doe wat aan je toetsenbord,
de caps lock hapert waardoor niet alles in hoofdletters was en dan is het echt niet te lezen
27-03-2018, 23:59 door Anoniem
Ik heb gewoon betaald, kreeg gelijk een link terug waar ik op moest klikken om een paar miljoen van een overleden persoon te claimen, ook dat maar gelijk gedaan. Niet goed ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.