CLOUDFLARE IS EVIL

De URL in de phishingmails die ik ontving voor de DHL phishingsite die ik in mijn vorige toot beschreef, stuurt mijn browser via respectievelijk:

https:⧸⧸track.pstmrk.it (achter Amazon)
https:⧸⧸13his.atoms.world

Die laatste zit (samen met een heel stel broertjes en zusjes) ook achter Cloudflare en zij gebruiken een certificaat van "Google Trust Services".

Edit: meer info in https://security.nl/posting/931203.

#CloudflareIsEvil #CloudflareBulletProofHosting #CloudflareIsCrimineel #Cloudflare #AmazonIsEvil #BigTechIsEvil #GoogleIsEvil #LetsEncryptIsEvil #GoogleTrustServices #GoogleTrustServicesIsEvil #LetsEncrypt

CLOUDFLARE IS EVIL

Verstopt zich ook achter Cloudflare:

https:⧸⧸signandgo.im/tracking/customsfees/track=NL1234567890123

Dat laatste getal heb ik zelf ingevoerd (het wijkt af van het getal dat ik zag na op het openen van de phishingmail die ik ontving).

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLARE IS EVIL

Dit wist ik niet, maar kennelijk ondersteunt Cloudflare ook "catch all" domeinnamen - d.w.z. willekeurige subdomeinnamen, want de domeinmaam in de volgende link resolvt ook naar 104.21.29.11 en 172.67.148.69:

https:⧸⧸whatever.stakebet.info (achter Cloudflare)

De enige uitzondering die ik hierop ken is:

https:⧸⧸bunq.stakebet.info (niet achter Cloudflare)

die recentelijk van IP-adres veranderd is:
oud: 216.203.20.170
nieuw: 216.203.20.204

Laatstgenoemde nepsite beschreef ik gisteren in https://todon.nl/@ErikvanStraten/116342622151841075.

Alle andere *.stakebet.info (anders dan bunq.*) sites tonen nu een nginx welkomstpagina (eerder gaf dat nog een connection time-out, zie https://todon.nl/@ErikvanStraten/116326002732196717).

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLARE IS EVIL

Deze phishing site verstopt zich al sinds minstens 12 maart achter Cloudflare en is nog steeds live:

https:⧸⧸digitaalformulier.4417.info

Die nepsite beschreef ik uitgebreid (op 12 maart) in https://todon.nl/@ErikvanStraten/116216004495882854 (en later in https://todon.nl/@ErikvanStraten/116306742704936688).

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLLARE IS EVIL

Nog steeds live en GEEN CLOUDFLARE PHISHING WAARSCHUWING bij deze URL:

https:⧸⧸keepass-xc.com/index.php

#Cloudflare #CloudflareIsEvil #Phishing #Malware

CLOUDFLARE IS EVIL

Ook de volgende twee websites, waarvan ik 3 dagen geleden schreef (https://todon.nl/@ErikvanStraten/116323126760276917) dat ze uit de lucht gehaald leken, zijn weer live (zie onderstaande zojuist gemaakte screenshots):

https:⧸⧸bunq.stakebet.live (IPv4: 216.203.20.170)
https:⧸⧸bunq.diaojj.com (achter Cloudflare)

nu ook live, maar (nog?) met een bunq pagina:

https:⧸⧸knab.diaojj.com (nieuw, ook achter Cloudflare)

Op die laatste twee links checkt een Cloudflare bot of u een mens bent alvorens u door te verbinden met de feitelijke server.

De eerste twee phishing websites beschreef ik op 22 maart in https://todon.nl/@ErikvanStraten/116274355987240779.

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #Phishing #CyberCrime #bunq #bunqPhising #knab #knabPhishing #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende ICS phishing website (zich verstoppend achter Cloudflare) is nog steeds live (zie screenshot):

https:⧸⧸lcs.1419.info

Welke websites op dit moment naar die phishingsite doorsturen heb ik nog niet kunnen vinden. Eerder waren dat de volgende "doorstuursites" bij Herzner (te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/46.225.225.20), maar deze lijken nu allemaal "uit de lucht" te zijn gehaald:

https:⧸⧸[www.]dynamic-1001.com
https:⧸⧸[www.]ephemeralgarbage.com
https:⧸⧸[www.]timsauctionservice.com
https:⧸⧸[www.]paramountwebsales.com
https:⧸⧸[www.]iserve.co.uk
https:⧸⧸[www.]eldiabaptismoglobal.net
https:⧸⧸[www.]insuranceopedia.ca
https:⧸⧸[www.]spartancu.com
https:⧸⧸[www.]wallstreetedge.com

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant eerder ook doorstuurde naar de phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishing-e-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #ICS #ICSphising #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende websites sturen uw browser op dit moment door naar de volgende Bitvavo phishingsite (zoals zovele nepsites, verstopt ook deze zich achter Cloudflare):

https:⧸⧸digitaalformulier.im/two.html (zie screenshot)

Al die doorstuursites zijn te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/185.68.93.129.

https:⧸⧸[www.]ramey-photography.com
https:⧸⧸[www.]therapeutix.com
https:⧸⧸[www.]bidonalbany.com
https:⧸⧸[www.]kkbrocks.com
https:⧸⧸[www.]bidonmacon.com
https:⧸⧸[www.]cheqpaq.com
https:⧸⧸[www.]isimgt.com
https:⧸⧸[www.]247.co.il
https:⧸⧸[www.]cbc-restaurant-corp.com
https:⧸⧸[www.]islandnight.org

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant doorstuurt naar de Bitvavo phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishinge-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #Bitvavo #BitvavoPhising #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende websites sturen uw browser op dit moment door naar de volgende KvK phishingsite (zoals zovele nepsites, achter Cloudflare):

https:⧸⧸digitaalformulier.im/html1.html (zie screenshot)

Al die doorstuursites zijn te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/190.123.46.57, met uitzondering van de site waar ik een IP-adres achter gezet, die is te vinden in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/209.50.247.67.

https:⧸⧸[www.]fqhospitality.com (nieuw)
https:⧸⧸[www.]rackdata.com
https:⧸⧸ns1.rackdata.com (209.50.247.67)
https:⧸⧸ns2.rackdata.com
https:⧸⧸[www.]nflhouse2013.com
https:⧸⧸[www.]betbigcity.net
https:⧸⧸[www.]drharrington.net
https:⧸⧸[www.]winebidinternational.com
https:⧸⧸[www.]spectrumwi.net
https:⧸⧸[www.]retirementheadquarters.info
https:⧸⧸[www.]fmcontacts.net
https:⧸⧸[www.]omgfr.com

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant doorstuurt naar de KvK phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishinge-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #KvK #KvKphising #Odido #OdidoDataLek

Nog zeven phishing-websites die niet geblokkeerd worden door Cloudflare (met screenshots van de eerste vier, de rest zijn ook Cloudflare time-out pagina's):

https:⧸⧸digitaalformulier.4417.info (sinds minstens 12 maart)
https:⧸⧸ing.stakebet.live
https:⧸⧸abnamro.stakebet.live
https:⧸⧸rabobank.stakebet.live
https:⧸⧸triodos.stakebet.live
https:⧸⧸asn.stakebet.live
https:⧸⧸n26.stakebet.live

Mogelijk zijn de phishermen overgestapt op een andere domeinnaam dan "stakebet punt live" die ik (nog) niet ken, met subdomeinen die waarschijnlijk ook achter bullet proof hoster Cloudflare zitten.

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #Phishing #CloudflareBulletProofHosting #ING #INGphishing #ABNAmro #ABNAmroPhishing #Rabobank #RabobankPhishing #Triodos #TriodosPhishing #ASN #ASNbank #ASNphishing #ASNbankPhishing #N26 #N26phishing