CLOUDFLARE IS EVIL

Basic Fit klanten: "welkom" bij de club der gelekten! (https://nos.nl/artikel/2610253-basic-fit-getroffen-door-hack-gegevens-van-200-000-nederlandse-leden-gelekt).

Voor de ICS phishingsite, die al ca. 1 maand live is achter Cloudflare (en die ik hierboven al twee maal noemde), ontving ik gisteren een phishingmail. De (niet direct zichtbare) link daarin stuurt mijn browser naar een "doorstuursite":

https:⧸⧸luxeinteriors.pk

Dat is een vermoedelijk gehackte website. Die site stuurde ook zojuist nog mijn browser als eerste door naar de ICS phishingsite:

https:⧸⧸lcs.1419.info

(en die site zelf vult de URL vervolgens aan met "/index.php" en daarna met "/id/<random string>"). Nieuw is de verticale "Feedback" knop aan de rechterkant.

Ook nog niet gebanned door Cloudflare is:

https::⧸⧸digitaalformulier.4417.info

Eerder beschreef ik de "Mijn Overheid Berichtenbox" nepsite die daar te vinden was. De getoonde foutmelding is hartstikke nep. Ik vermoed dat hier, na een witwasperiode, weer een phishingsite op verschijnt.

Geen dank, Cloudflare!

#CloudflareIsEvil #CloudflareIsCrimineel #BigTechIsEvil #Odido #OdidoDataLek #BasicFit #BasicFitDataLek

BIG TECH IS EVIL

https://www.bleepingcomputer.com/news/security/fbi-americans-lost-a-record-21-billion-to-cybercrime-last-year/

#BigTechIsEvil #GoogleIsEvil #CloudflareIsEvil

GOOGLE+CLOUDFLARE ARE EVIL / MALAFIDE ELEKTRICIENS

Gisteravond op TV bij Radar o.a. "Malafide elektriciens": https://radar.avrotros.nl/artikel/uitzending-radar-6-april-ticketprijzen-wk-voetbal-malafide-elektriciens-en-tatoeages-weglaseren-62538

Vanochtend: "Politie noemt oplichting door elektriciens via Google Ads 'georganiseerde misdaad’": https://www.security.nl/posting/931355/Politie+noemt+oplichting+door+elektriciens+via+Google+Ads+%27georganiseerde+misdaad%E2%80%99

Met een kort onderzoekje vond ik van één van de partijen die het niet zo nauw neemt met de regels voor eerlijk zakendoen, en schreef daarover in https://www.security.nl/posting/931363 - helaas is die reactie ondertussen verwijderd door een moderator. Een snapshot vindt u echter in https://archive.is/6HI4J (ik had een voorgevoel).

Hieronder vindt u een lijstje met betrokken domeinnamen (zie https://archive.is/6HI4J voor een meer uitgebreide toelichting).

In aanvulling daarop schreef ik later op security.nl (daar heb ik geen snapshot meer van kunnen maken op archive.is):
❝
Overigens is dit niet de enige partij die agressief in Google ads verschijnt.

Aanvulling: de voorpagina van https://elektricienvlaanderen.be wijkt af van de andere sites, maar bovenin (PDF) https://elektricienvlaanderen.be/wp-content/uploads/2022/02/algemene-voorwaarden-https___elektricienvlaanderen.be_.pdf staat:

"Algemene voorwaarden Versie 1.2
[...]
Louwmans Installatie Techniek B.V.
KVK: 84966378
BTW: NL863443515B01
[...]"
❞

#GoogleIsEvil #CloudflareIsEvil #BigTechIsEvil #InfoSec #Fraude #Oplichting #GeorganiseerdeMisdaad #Politie #ACM #Elektricien #MalafideElektriciens

CLOUDFLARE IS EVIL

De URL in de phishingmails die ik ontving voor de DHL phishingsite die ik in mijn vorige toot beschreef, stuurt mijn browser via respectievelijk:

https:⧸⧸track.pstmrk.it (achter Amazon)
https:⧸⧸13his.atoms.world

Die laatste zit (samen met een heel stel broertjes en zusjes) ook achter Cloudflare en zij gebruiken een certificaat van "Google Trust Services".

Edit: meer info in https://security.nl/posting/931203.

#CloudflareIsEvil #CloudflareBulletProofHosting #CloudflareIsCrimineel #Cloudflare #AmazonIsEvil #BigTechIsEvil #GoogleIsEvil #LetsEncryptIsEvil #GoogleTrustServices #GoogleTrustServicesIsEvil #LetsEncrypt

CLOUDFLARE IS EVIL

Verstopt zich ook achter Cloudflare:

https:⧸⧸signandgo.im/tracking/customsfees/track=NL1234567890123

Dat laatste getal heb ik zelf ingevoerd (het wijkt af van het getal dat ik zag na op het openen van de phishingmail die ik ontving).

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLARE IS EVIL

Dit wist ik niet, maar kennelijk ondersteunt Cloudflare ook "catch all" domeinnamen - d.w.z. willekeurige subdomeinnamen, want de domeinmaam in de volgende link resolvt ook naar 104.21.29.11 en 172.67.148.69:

https:⧸⧸whatever.stakebet.info (achter Cloudflare)

De enige uitzondering die ik hierop ken is:

https:⧸⧸bunq.stakebet.info (niet achter Cloudflare)

die recentelijk van IP-adres veranderd is:
oud: 216.203.20.170
nieuw: 216.203.20.204

Laatstgenoemde nepsite beschreef ik gisteren in https://todon.nl/@ErikvanStraten/116342622151841075.

Alle andere *.stakebet.info (anders dan bunq.*) sites tonen nu een nginx welkomstpagina (eerder gaf dat nog een connection time-out, zie https://todon.nl/@ErikvanStraten/116326002732196717).

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLARE IS EVIL

Deze phishing site verstopt zich al sinds minstens 12 maart achter Cloudflare en is nog steeds live:

https:⧸⧸digitaalformulier.4417.info

Die nepsite beschreef ik uitgebreid (op 12 maart) in https://todon.nl/@ErikvanStraten/116216004495882854 (en later in https://todon.nl/@ErikvanStraten/116306742704936688).

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLLARE IS EVIL

Nog steeds live en GEEN CLOUDFLARE PHISHING WAARSCHUWING bij deze URL:

https:⧸⧸keepass-xc.com/index.php

#Cloudflare #CloudflareIsEvil #Phishing #Malware

CLOUDFLARE IS EVIL

Ook de volgende twee websites, waarvan ik 3 dagen geleden schreef (https://todon.nl/@ErikvanStraten/116323126760276917) dat ze uit de lucht gehaald leken, zijn weer live (zie onderstaande zojuist gemaakte screenshots):

https:⧸⧸bunq.stakebet.live (IPv4: 216.203.20.170)
https:⧸⧸bunq.diaojj.com (achter Cloudflare)

nu ook live, maar (nog?) met een bunq pagina:

https:⧸⧸knab.diaojj.com (nieuw, ook achter Cloudflare)

Op die laatste twee links checkt een Cloudflare bot of u een mens bent alvorens u door te verbinden met de feitelijke server.

De eerste twee phishing websites beschreef ik op 22 maart in https://todon.nl/@ErikvanStraten/116274355987240779.

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #Phishing #CyberCrime #bunq #bunqPhising #knab #knabPhishing #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende ICS phishing website (zich verstoppend achter Cloudflare) is nog steeds live (zie screenshot):

https:⧸⧸lcs.1419.info

Welke websites op dit moment naar die phishingsite doorsturen heb ik nog niet kunnen vinden. Eerder waren dat de volgende "doorstuursites" bij Herzner (te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/46.225.225.20), maar deze lijken nu allemaal "uit de lucht" te zijn gehaald:

https:⧸⧸[www.]dynamic-1001.com
https:⧸⧸[www.]ephemeralgarbage.com
https:⧸⧸[www.]timsauctionservice.com
https:⧸⧸[www.]paramountwebsales.com
https:⧸⧸[www.]iserve.co.uk
https:⧸⧸[www.]eldiabaptismoglobal.net
https:⧸⧸[www.]insuranceopedia.ca
https:⧸⧸[www.]spartancu.com
https:⧸⧸[www.]wallstreetedge.com

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant eerder ook doorstuurde naar de phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishing-e-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #ICS #ICSphising #Odido #OdidoDataLek