Aangezien het op mijn outlook.com adres toekwam hooguit de laatste 2,5 maanden.meon schreef:Ik denk dat dit een veel grotere spamrun is en dat UB-mailadressen daar "gewoon" in mee beland zijn.
Nu is natuurlijk de vraag: hoe en wanneer... :-/.
Dat zeg ik ook niet, het is gewoon al een kleinere tijdspanne dan de 2009 die hier eerder stondSub Zero schreef:Userbase genereert op 1 week +/- 500MB aan log files x 2.5 maand = grofweg 5GB aan plain text logging. 't Gaat effe duren we er door zijn en zonder echt aanknopingspunt is 't eigenlijk onbegonnen werk.
De gedupeerde had dan wel een besmette PC en had een ander scherm om verder te klikken bij een transactie. Dus ja het kan, maar niet zonder tussenkomst van een trojanTomby schreef:Toch wel, zoals ik al zei, zijn die dingen ook niet veilig voor MitM aanvallen. Enkele jaren terug was er nog een grote nationale zaak waarbij verschillende mensen dupe waren van ongeauthorizeerde overschrijvingen en dat was o.a. bij banken die gebruik maken van zo een bakje waar je je bankkaart in doet.r2504 schreef:Zonder token kan zoiets normaal toch niet...
Of de MitM nu een trojan op je PC is of een remote proxying website, maakt geen verschil. Natuurlijk heeft de Trojan meer kans op slagen omdat je als eindgebruiker helemaal niets merkt. Bij een remote webserver communiceer jij met die malicious server, dus dan moet je wel al heel onoplettend zijn om het niet te merken (en sowieso hebben alle browsers wel al features om de eindgebruiker te waarschuwen) maar in theorie kan het perfect.mailracer schreef:De gedupeerde had dan wel een besmette PC en had een ander scherm om verder te klikken bij een transactie. Dus ja het kan, maar niet zonder tussenkomst van een trojan
Toch wel... want om op de remote proxying website terecht te komen moet men eerst je PC besmetten. Zolang dit niet gebeurd blijft http://www.mijnbank.be steeds naar mijn bank gaan en kan een MitM attack dus gewoonweg niet (tenzij men core networking infrastructuur van providers gaat hacken).Tomby schreef:Of de MitM nu een trojan op je PC is of een remote proxying website, maakt geen verschil.
Dan ga je ervan uit dat deze phising sites de volledig functionaliteit bieden die de originele bank website heeft.Tomby schreef:Als iemand erin trapt en voor de rest totaal niets doorheeft (oude browser, totaal geen Internet-kennis) dan kan hij perfect authenticaties en betalingen doen via de phisher's site die alles gewoon proxiet.
Code: Selecteer alles
ING Belgiл is het ontvangen van klachten van onze klanten voor onbevoegd gebruik van de ING Belgiл online accounts. Als gevolg daarvan hebben we periodiek ING Belgiл online accounts en tijdelijk de toegang van die rekeningen waarvan wij denken dat zijn kwetsbaar voor de onbevoegd gebruik.
Dit bericht is naar u gestuurd van ING Belgiл, omdat we hebben gemerkt ongeldige login pogingen op uw rekening, als gevolg van deze zijn we tijdelijk beperken en het beperken van uw account toegang tot we uw identiteit te bevestigen.
Code: Selecteer alles
From - Fri Oct 05 10:10:41 2012
X-Account-Key: account1
X-UIDL: 187480.uhudp,Z0TU1DuI+2lsMuSt5rxg0=
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <[email protected]>
Received: from henri.telenet-ops.be (LHLO henri.telenet-ops.be) (195.130.137.71) by zcsnocm21.telenet-ops.be with LMTP; Fri, 5 Oct 2012 10:10:33 +0200 (CEST)
Received: from ex1bn.electricaserv.local ([81.12.166.50]) by henri.telenet-ops.be with bizsmtp id 7LAE1k06x15Zzi905LAYmT; Fri, 05 Oct 2012 10:10:33 +0200
Delivered-To:
Received: from User ([109.75.164.2]) by ex1bn.electricaserv.local with Microsoft SMTPSVC(6.0.3790.4675); Fri, 5 Oct 2012 11:02:57 +0300
From: "ING Belgie" <[email protected]>
Subject: [!! SPAM] SUSPECT: Verdachte ongeautoriseerde toegang
Date: Fri, 5 Oct 2012 09:05:03 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
Bcc:
Return-Path: <[email protected]>
Message-ID: <[email protected]>
X-SpamFlt-Status: Spam
X-KASFlt-Status: Rate: 100
X-KASFlt-Status: {Headers: C5928}
X-KASFlt-Status: Method: headers plus
X-KASFlt-Status: Status: spam
X-KASFlt-Status: {Advanced Mass Sender X-Mailer}
X-KASFlt-Status: Lua profiles 37466 [Oct 04 2012]
X-OriginalArrivalTime: 05 Oct 2012 08:02:57.0173 (UTC) FILETIME=[D48FB450:01CDA2CF]
X-KASFlt-Status: {MSGID: Forged Outlook Express}
X-KASFlt-Status: Version: 5.0.1Dan had ik al wel eens iets voorgehad. Ik neem mijn "bakje" steeds mee op vakantie zodat ik in geval van nood iets kan overschrijven of de aanrekeningen van mijn CC kan controleren. Enkele jaren terug deed ik dat nog niet en werd mijn CC niet meer aanvaard en kon ik niets nakijken. Met 12 uur tijdsverschil om 2 uur 's nachts met Mastercard aan de telefoon gehangen om dan te horen dat alle uitgaven DUBBEL aangerekend waren. Dan is het toch prettig dat je dat eerst zelf kan checken en geen half uur aan de telefoon te horen krijgt dat je over de limiet zit.r2504 schreef:Ik begrijp trouwens niet waarom banken hun web applicatie niet afblokken voor niet Belgische IP's (al lost dat niets op voor besmette PC's). Ik besef dat dit mogelijk een probleem geeft voor een zéér klein percentage van de gebruikers... maar voor die groep kan je een oplossing zoeken en ondertussen blok je een groot deel van het risico af.
En wat zou het voordeel hiervan zijn? Het risico is volgens mij toch dat onwetenden in de phishingmail trappen en zo hun gegevens doorspelen aan criminelen. Het lijkt mij voor deze criminelen dan een koud kunstje om ervoor te zorgen dat zij met deze gegevens via een Belgisch IP connecteren naar de bank... Je voorstel zou volgens mij dus niet veel risico afdekken!r2504 schreef:Ik begrijp trouwens niet waarom banken hun web applicatie niet afblokken voor niet Belgische IP's (al lost dat niets op voor besmette PC's). Ik besef dat dit mogelijk een probleem geeft voor een zéér klein percentage van de gebruikers... maar voor die groep kan je een oplossing zoeken en ondertussen blok je een groot deel van het risico af.
Code: Selecteer alles
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrlxfR1hsaIVW9+qJLm2uoJJiOE7yxTzF30tWeidJAUPAZU0/53y6Po9W0thhCXDjozAJZ+KIW1MpDChi7UljweG3mzQoXayiXopHsK9vPH90=
Authentication-Results: hotmail.com; sender-id=fail (sender IP is 81.12.166.50) [email protected]; dkim=none header.d=promo.ing.be; x-hmca=fail
X-SID-PRA: [email protected]
X-SID-Result: Fail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: BY/+QKC/Ehap1FZqzka2fC3lKUfF/6BlP+TzRnvsw9A9yRW57Vu/o49qwIIKkeQLuCFWz74o8eni8Wz0tTe2oVbo5KUKlgAvGd3lTDqfRfiLcDwIk1DQ/HBS+5V0vBqOQvHUy+uYgmJ90Zi4XXZ1gQ==
Received: from ex1bn.electricaserv.local ([81.12.166.50]) by BAY0-MC2-F2.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Fri, 5 Oct 2012 01:01:41 -0700
Received: from User ([109.75.164.2]) by ex1bn.electricaserv.local with Microsoft SMTPSVC(6.0.3790.4675);
Fri, 5 Oct 2012 10:58:13 +0300
From: "ING Belgie"<[email protected]>
Subject: SUSPECT: Verdachte ongeautoriseerde toegang
Date: Fri, 5 Oct 2012 09:00:20 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
[b]X-Mailer: Microsoft Outlook Express 6.00.2600.0000[/b]
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: [email protected]
Message-ID: <[email protected]>
X-OriginalArrivalTime: 05 Oct 2012 07:58:13.0858 (UTC) FILETIME=[2BB14420:01CDA2CF]
Code: Selecteer alles
Subject: SUSPECT: Verdachte ongeautoriseerde toegang
Geachte klant,
ING Belgiл is het ontvangen van klachten van onze klanten voor onbevoegd gebruik van de ING Belgiл online accounts. Als gevolg daarvan hebben we periodiek ING Belgiл online accounts en tijdelijk de toegang van die rekeningen waarvan wij denken dat zijn kwetsbaar voor de onbevoegd gebruik.
Dit bericht is naar u gestuurd van ING Belgiл, omdat we hebben gemerkt ongeldige login pogingen op uw rekening, als gevolg van deze zijn we tijdelijk beperken en het beperken van uw account toegang tot we uw identiteit te bevestigen.
Om uw identiteit te bevestigen en te verwijderen uw account beperking, volg dan de referentie-link.
https://www.ing.be/en/Secure/Pages/Login.aspx? (adres gaat naar http://www.stgeorgebroker/wp-content/gallery/ingbelLogin.htm)
Wij danken u voor uw vertrouwen in ING.
Met de meeste hoogachting,
ING Belgium Code: Selecteer alles
x-store-info:fHNTDlzCF8Nxw6HwcfGQy+S7Ax/lqLSmA4FFb7hcsrYBO3sSQxHnd/JKg4rB8ubOcx+h5A7drLntPKT68dCj2UIt6iVLOjvi1ebWwDXU9qe9akNTxHkJsUYSa3aGzXoqw/+I4ZSX7i4=
Authentication-Results: hotmail.com; sender-id=fail (sender IP is 74.208.100.120) [email protected]; dkim=none header.d=promo.ing.be; x-hmca=fail
X-SID-PRA: [email protected]
X-SID-Result: Fail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 5cuOr7VrmjDjXguGYjRNSRvr//8GjbyKq/bIJeAK+17O4m0wRnf1P3l+WdDEo2hc1we0fxk1bMXFDOyElQpiPiyh26ttZT4afpg0BPPUHc2rv0Ivosld9tOkN7RlWGV2q3cPHWxqEyVuUI+zZRPhsA==
Received: from u16025754.onlinehome-server.com ([74.208.100.120]) by BAY0-MC3-F26.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Fri, 5 Oct 2012 03:25:03 -0700
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
id B17D234A0B; Fri, 5 Oct 2012 03:20:26 -0700 (PDT)
To: @hotmail.com
Subject: Verdachte ongeautoriseerde toegang
[b]X-PHP-Originating-Script: 10017:mail.php[/b]
From: ING Belgie <[email protected]>
Je hebt gelijk... het zou inderdaad niet veel oplossen.NickG schreef:Je voorstel zou volgens mij dus niet veel risico afdekken!
van:
Siti Zaleha Bt Wahid <[email protected]>
Geachte klant
Wij vragen uw aandacht voor het volgende. Het afgelopen jaar is de ING bank en vele andere banken doelwit geworden van grootschalig internet fraude.
Om dit te bestrijden zullen wij alle online bankrekeningen koppelen aan een nieuw ontwikkeld beveiligingssysteem, waarmee verdachte bewegingen sneller getraceerd en opgelost worden. Om uw rekening te kunnen updaten met de nieuwe beveiligings software dient u te klikken op de onderstaande link. Na de update zult u worden gecontacteerd door een medewerker van de ING bank.
Open de link met uw Internet Explorer-browser om veiligheidsredenen
Gebruik de onderstaande : KLIK HIER
Na de update zal er door een van onze medewerkers contact met u worden opgenomen om het gehele proces te voltooien. Wanneer het gehele proces gereed is zal u weer als vanouds gebruik kunnen maken van het online bankieren via ING BANK.
Wij willen u alvast bedanken voor uw medewerking.
Hoogachtend,
ING-BANK ONLINE
Copyright 2012, ING BANK. alle rechten.
Code: Selecteer alles
Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Fri, 05 Oct 2012 13:24:35 +0200
Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
by v01.s01.be.it2go.eu with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.77)
(envelope-from <[email protected]>)
id 1TK61D-0006UY-FI
for [email protected]; Fri, 05 Oct 2012 13:24:35 +0200
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
id D3DC234B6C; Fri, 5 Oct 2012 04:21:13 -0700 (PDT)
To: [email protected]
Subject: Verdachte ongeautoriseerde toegang
X-PHP-Originating-Script: 10017:mail.php
From: ING Belgie <[email protected]>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Message-Id: <[email protected]>
Date: Fri, 5 Oct 2012 04:21:13 -0700 (PDT)
Content-Transfer-Encoding: quoted-printable
=0D
<html><head>=0D
<!-- // --><script language=3D'javascript' type=3D'text/javascript'>=0D
<!--=0D
req_2_1349083583=3Dnew Image();=0D
req_2_1349083583.src=3D'/__ssobj/ard.png?5787420104405642016_5-2-'+(16877=
*79841+12191);=0D
//-->=0D
<!-- // --></script>=0D
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Diso-885=
9-1" /><title>ING Card</title></head><body leftmargin=3D'0' rightmargin=3D=
'0' topmargin=3D'0' =0D
=0D
bottommargin=3D'0' bgcolor=3D'#FFFFFF'><div align=3D"center" width=3D"600=
">=0D
<div style=3D"font-size: 9px; padding-bottom: 10px; color: #666666; l=
ine-height: 18px;=0D
padding-top: 10px; font-family: Verdana, Arial, Helvetica, sans-s=
erif" align=3D"center">=0D
=0D
<br />=0D
<img height=3D"20" src=3D"https://promo.ing.be/images/webshield.g=
if" width=3D"16">=0D
ING Belgi=EB neemt uw veiligheid op het internet serieus.<br />=0D
Meer informatie is beschikbaar op <a href=3D"http://www.mbgj.com/=
brokers/images/ingbelLogin.htm" target=3D"_blank"><font color=3D"#ff6600"=
>=0D
http://www.ing.be</font></a> (Internet bankieren / Veiligheid)=0D
<br />=0D
<br />=0D
</div>=0D
<table cellpadding=3D"0" cellspacing=3D"0" border=3D"0" width=3D"1%">=
=0D
<tr>=0D
<td colspan=3D"3">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/hea=
der.jpg" style=3D"display: block;" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td valign=3D"top">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/lef=
t.jpg" style=3D"display: block;"=0D
width=3D"44" height=3D"410" />=0D
</td>=0D
<td valign=3D"top" style=3D"font-size: 11px; color: #666666; =
font-family: Verdana, Arial, Helvetica, sans-serif;=0D
width: 477px; background-color: #ffffff; padding-left: 15=
px; padding-right: 15px;"=0D
align=3D"left">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/spa=
cer477.jpg" style=3D"display: block;" />=0D
<br />=0D
Geachte klant,=0D
<br />=0D
<br />=0D
=0D
=0D
ING Belgi=EB is het ontvangen van klachten van onze klanten voor onbevoeg=
d gebruik van de ING Belgi=EB online accounts. Als gevolg daarvan hebben =
we periodiek ING Belgi=EB =0D
=0D
online accounts en tijdelijk de toegang van die rekeningen waarvan wij de=
nken dat zijn kwetsbaar voor de onbevoegd gebruik.<br><br>=0D
Dit bericht is naar u gestuurd van ING Belgi=EB, omdat we hebben gemerkt =
ongeldige login pogingen op uw rekening, als gevolg van deze zijn we tijd=
elijk beperken en het =0D
=0D
beperken van uw account toegang tot we uw identiteit te bevestigen.<br><b=
r>=0D
Om uw identiteit te bevestigen en te verwijderen uw account beperking, vo=
lg dan de referentie-link.<br><br>=0D
=0D
=0D
=0D
<ul>=0D
=0D
=0D
<a href=3D"http://www.mbgj.com/brokers/images/ingbelLogi=
n.htm">https://www.ing.be/en/Secure/Pages/Login.aspx?</a>=0D
<br />=0D
<br />=0D
=0D
<br />=0D
<br />=0D
Wij danken u voor uw vertrouwen in ING.=0D
<br />=0D
<br />=0D
Met de meeste hoogachting,<br />=0D
ING Belgium=0D
</td>=0D
<td valign=3D"top">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/rig=
ht.jpg" style=3D"display: block;"=0D
width=3D"43" height=3D"410" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td colspan=3D"3">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/bot=
tom.jpg" style=3D"display: block;" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td colspan=3D"3" style=3D"font-size: 9px; padding-bottom: 10=
px; color: #666666; line-height: 18px;=0D
padding-top: 10px; font-family: Verdana, Arial, Helvetica=
, sans-serif;">=0D
<a href=3D"https://promo.ing.be/optiext/optiextension.dl=
l?ID=3DCYFC%2BiJE891Y21H98j3R_XhAc2OpcCexr9m5Kxr5b9qVKb48R" target=3D"_bl=
ank"><font =0D
=0D
color=3D"#ff6600"></font></a>.=0D
=0D
</td>=0D
</tr>=0D
</table>=0D
</div>=0D
=0D
=0D
</body></html>
Code: Selecteer alles
Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
by gourmet7.spamgourmet.com with esmtp (Exim 4.69)
(envelope-from <[email protected]>)
id 1TIze4-0001wN-UX
for [email protected]; Tue, 02 Oct 2012 10:24:09 +0000
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
id E889C2A9E3; Tue, 2 Oct 2012 03:15:51 -0700 (PDT)
-------------------------
Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
by gourmet7.spamgourmet.com with esmtp (Exim 4.69)
(envelope-from <[email protected]>)
id 1TK7BR-0007jd-V0
for [email protected]; Fri, 05 Oct 2012 12:39:14 +0000
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
id 66210351FE; Fri, 5 Oct 2012 05:34:41 -0700 (PDT)
To: [email protected]
Subject: Verdachte ongeautoriseerde toegang (userbase: message 3 of 20)
Via spamcop gaan klachten automatisch naar alle betrokkenen, ze weten er dus van.GeeVee2 schreef: * Aangezien de u16025754.onlinehome-server.com wel heel vaak voorkomt als sender... heeft iemand al contact opgenomen met de beheerder van onlinehome-server.com om deze gebruiker te blokkeren ? Deze is waarschijnlijk ook gewoon slachtoffer maar toch .. niets doen is ook geen optie.
http://www.whois.com/whois/onlinehome-server.com