Hieronder screenshots van hetgeen ik noemde in de toot hierboven:
• De nieuwe ICS phishingsite (achter Cloudflare, geen phishing-waarschuwing);
• De Coudflare phishing-waarschuwing;
• Met "/whatever" achter de link geplakt waarschuwt Cloudflare NIET voor phishing (dus hadden de phishers dat eenvoudig kunnen omzeilen). Na enige tijd meldt Cloudflare dat de site onbereikbaar is.
ODIDO PHISHING
Er is iets veranderd! Cloudflare waarschuwt nu voor PHISHING als ik open:
https:⧸⧸sozungolgesi.com
Dat was de "doorstuursite" die ik niet benoemde in https://todon.nl/@ErikvanStraten/116274355987240779. Immers, phishers gebruiken tegelijkertijd *meerdere* doorstuursites en vernieuwen ze vaak om te verhinderen dat spamfilters hun phishingmails blokkeren.
Erg effectief is Cloudflare niet, want als ik open:
https:⧸⧸sozungolgesi.com/whatever
waarschuwt Cloudflare *NIET* voor phishing. De cybercrims hebben de site echter opgedoekt, want met bovenstaande link meldt Cloudflare dat de bedoelde site onbereikbaar is.
Er is nog iets veranderd: in elk geval de bovenste twee doorstuursites (de rest heb ik niet gecheckt) die ik noemde in https://todon.nl/@ErikvanStraten/116260867512597776 sturen nu door naar een ANDERE phishingsite (ook achter Cloudflare).
Oftewel, dweilen met de kraan open. In onderstaand plaatje heb ik met groen aangegeven wat (een half uurtje geleden en waaschijnlijk nu nog) werkt, en met rood wat "dood" is.
Nb. de kleine vierkante rode plekjes, ☎️, stellen telefoons voor - d.w.z. dat je gebeld wordt door een bankhelpdeskfraudeur, zoals ik zondag eind van de middag meemaakte (zie https://todon.nl/@ErikvanStraten/116274275041117317).
#CloudflareIsEvil #Phishing #BigTechIsEvil #Odido #OdidoDataLek
@robinadams : I hope that it's limited to that (your browser's address bar reads https:⧸⧸google.com).
But space for search results is limited. So my speculation is that if you click the search result in order to open the actual website, you _still_ get to see AI-manipulated content.
Once Chrome reads https:⧸⧸example.com in its address bar while the page shows altered content of said website, this means that Google FULLY destroyed TLS.
Note: "Google Trust Services" (and others) already partially breaks TLS by handing out DV certificates to Cloudflare proxy servers. You DO NOT have an E2EE connection to the actual website, proven by https://todon.nl/@ErikvanStraten/116263229585961944 (Dutch text, tap translate for English).
Summarizing: your browser has an E2EE connection with a Cloudflare server. Cloudflare can always see and manipulate anything you think you exchange with the actual website. They can read your passwords and hijack any of your accounts even if WebAuthn (FIDO2 hardware key or passkey) is used to log in.
Google already broke https years ago - to prevent ISP's from altering ads or inserting fake clicks on ads. Let's Encrypt was never meant to protect YOU. #DVsucks
@petealexharris @grammasaurus @SteveRudolfi
#TLSisBroken #httpsIsBroken #Authenticity #GoogleIsEvil #CloudflareIsEvil #BigTechIsEvil
Beide volgende sites waren om 23/3 om 08:00 nog live (edit 26/3 om 23:25, alle drie de volgende sites waren, toen ik een paar minuten geleden checkte, nog in de lucht. Zie ook ds reply op deze toot):
https:⧸⧸bunq.diaojj.com (achter Cloudflare)
https:⧸⧸bunq.stakebet.live (216.203.20.170)
Aanvulling, andere scamsite (live sinds 12 maart of eerder, zie https://todon.nl/@ErikvanStraten/116216004495882854 en follow-up in https://todon.nl/@ErikvanStraten/116255199097910985):
https:⧸⧸digitaalformulier.4417.info (ook achter Cloudflare)
Om een indruk te geven wat voor sites zich achter Cloudflare verstoppen, hieronder een screenshot van het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/104.21.21.112
Zojuist heb ik aangifte gedaan op https://politie.nl.
Beide sites zijn nu nog live:
https:⧸⧸bunq.diaojj.com (achter Cloudflare)
https:⧸⧸bunq.stakebet.live (216.203.20.170)
Maar eens zien of de Politie hier (op zondagavond) iets mee kan, d.w.z. in elk geval #Cloudflare ervan overtuigen dat die eerste side uit de lucht moet.
#CloudflareIsEvil dus ik verwacht er niks van. De volgende site, ook achter Cloudflare, is ook nog steeds live:
https:⧸⧸digitaalformulier.4417.info
Zie https://todon.nl/@ErikvanStraten/116255199097910985 en verder.
Aan de andere kant is dat dweilen met de kraan open, want voor weinig geld en met weinig moeite hebben de criminelen zo weer nieuwe domeinnamen voor dezelfde nepsites.
M.b.t. de Cloudflare "evilness" zie https://todon.nl/@ErikvanStraten/116263229585961944.
Over de bellende nep bunq medewerker schreef ik vandaag ook in https://www.security.nl/posting/929480/nep+bunq+beller+%28odido+lek%29.
#BigTechIsEvil #InternetIsZiek #OdidoIsEvil #Odido #DataLek #OdidoDataLek #Aangifte #Politie #CyberCrime #BankHelpDeskFraude
Vanochtend ontving ik een phishingmail zogenaamd van bunq (ja, getelateerd aan het telefoontje).
Na klikken op de link daarin werd mijn browser, via een tussensite (achter Cloudflare), doorgestuurd naar (ook achter Cloudflare):
https:⧸⧸bunq.diaojj.com
Daar moest ik mijn telefoonnummer invullen (gedaan, toch al gelekt) en vervolgens mijn pincode van de bunq app (ik heb onzincijfers ingevuld).
Na even wachten werd mijn browser doorgestuurd naar:
https:⧸⧸bunq.stakebet.live
(andere provider dan Cloudflare). Die site toont een steeds veranderende QR-code die ik met mijn bunq app zou moeten scannen (niet gedaan natuurlijk).
In die QR-code zit een (normaal onzichtbare) link die begint met https:⧸⧸qr.bunq.com/ (met een hele riedel tekens daarachter).
Kort na het middaguur heb ik deze info aan bunq gemeld. Dat heeft NOG NIET tot afsluiting van de websites geleid, want #CloudFlareIsEvil - zij is medeplichtig aan cybercrime. Beide sites zijn nog live.
De bellende dame (later vandaag) liet mij ook eerstgenoemde site bezoeken, met als doel om de bunq app op hun smartphone aan mijn bunq bankrekening te koppelen (dat feestje ging natuurlijk niet door).
COUDFLARE IS EVIL, BIG TECH IS EVIL
Bovenaan het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/46.225.225.20 (zie onder) was er weer een domeinnaam bijgekomen.
Dus opende ik:
https:⧸⧸timsauctionservice.com/whatever
en precies zoals ik verwachtte, werd mijn browser doorgestuurd naar:
https:⧸⧸digitaalformulier.4417.info
een phishingsite (beschermd door Cloudflare) die nog steeds live is.
Het certificaat voor timsauctionservice.com (zie https://crt.sh/?id=24997716485) is uitgegeven op 15 maart, dus reken maar dat er nog meer doorstuursites "in de pijplijn" zitten.
Voor de phishingsite zelf bestaat er, ongetwijfeld (door mij), al minstens één ander live alternatief dat ik nog niet ontdekt heb (zoeken naar een speld in een gigantische hooiberg).
M.a.w. zodra Cloudflare (eindelijk) 4417.info offline haalt, hoeven de criminelen slechts hun doorstuursites aan te passen naar de volgende phishingsite.
Vechten tegen de bierkaai zolang Big Tech geld verdient aan cybercrime.
#CloudflareIsEvil #BigTechIsEvil #Phishing #InfoSec #HetznerIsEvil #Hetzner #Cloudflare #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil #Google #DVcerts #DVcertsSuck
@vreer : de phishingsites die ik noemde "verstoppen" zich achter Cloudflare (dat geldt voor steeds meer nepsites). Cloudflare claimt dat zij, als "doorgever", niet verantwoordelijk zijn voor de inhoud van websites - maar zij verhullen het IP-adres van de feitelijke servers en bieden daarmee nóg meer anonimiteit.
Cloudflare biedt haar diensten gratis of voor weinig geld aan, aan volstrekt anonieme partijen. Zie bijv. https://arstechnica.com/security/2024/07/cloudflare-once-again-comes-under-pressure-for-enabling-abusive-sites/.
Daarnaast maken veel criminelen misbruik van gratis *.workers.dev en *.pages.dev websites (ook van Cloudflare; zie o.a. https://www.levelblue.com/blogs/spiderlabs-blog/its-raining-phish-and-scams-how-cloudflare-pages-dev-and-workers-dev-domains-get-abused).
In https://infosec.exchange/@Bitwiper/112772374882006712 kun je meer lezen over Cloudflare.
Op 12 maart was de phishingsite "digitaalformulier.4417.info" een tijdje down, maar NIET de Cloudflare proxyserver. In de screenshot die ik toen maakte (zie onder) kun je zien dat mijn browser een https (versleutelde) verbinding had met een proxyserver van Cloudflare.
Cloudflare ZIET dus al het netwerkverkeer met sites "achter hen" (daarmee zien ze ook inloggegevens voorbij komen, en daar maken ze geen geheim van: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/). Cloudflare zou dus zeer eenvoudig zelf kunnen analyseren of het om een phishingsite gaat en zelf kunnen blokkeren, maar dat doet zij niet.
Medeplichtig aan cybercrime - met winstoogmerk.
CLOUDFLARE IS EVIL
Vanochtend ontving ik een nieuwe phishingmail met daarin de volgende link:
https:⧸⧸paramountwebsales.com/xiq5n
Als ik die site open, wordt mijn browser weer doorgestuurd naar de volgende phishingwebsite (die al meer dan 1 week live is);
https:⧸⧸digitaalformulier.4417.info
Kennelijk hebben de betrokken criminelen een nieuwe "doorstuur" server gehuurd, nu bij Hetzner, zie het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/46.225.225.20.
Alle websites met onderstaande domeinnamen in de gele rechthoek (als ik daar "/xxxxx" achter zet, waarbij elke x een willekeurige letter of cijfer is) sturen door naar https:⧸⧸digitaalformulier.4417.info.
#Phishing #CloudflareIsEvil #BigTechIsEvil #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil
CLOUDFLARE IS EVIL
Op dezelfde "Panamaserver" als ik eerder noemde (zie het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/190.123.46.57), is nu ook een website met de volgende domeinnaam te vinden:
rackdata.com
Als ik die site (zonder aanvulling in de link) open, wordt mijn browser doorgestuurd naar:
digitaalformulier.4417.info
Zodra dat gebeurt stuurt die site mijn browser door naar een "subpagina" (achter de domeinnaam verschijnt "/id/" gevolgd door een lang hexadecimaal getal).
Nb. het gaat hier om dezelfde nepsite achter Cloudflare die ik ÉÉN WEEK GELEDEN, op 12 maart, beschreef (in https://todon.nl/@ErikvanStraten/116216004495882854). Die is dus nog steeds live.
En detectie nog steeds door slechts 2 van 94 virusscanners (Chong Lua Dao en Webroot, zie https://www.virustotal.com/gui/url/f3b20ec6fad0353aef64a202698e46bffc05c7c3680ae81427c87d044d2b33aa).
TECHNISCHE DETAILS
Als ik de bovenste site door VirusTotal laat analyseren wordt de testende instance (van VirusTotal) doorgestuurd naar de een of andere flutsite (zie de DETAILS tab in https://www.virustotal.com/gui/url/23f6e89cad0bbe637ea309818a8a634cb6b1e5fc2e5e1a08b8e67e42e6c51085/details).
Als ik daarentegen een / en willekeurig 5 letters/cijfers achter de domeinnaam plak:
rackdata.com/1d5ud
wordt de testende instance wél naar de phishingsite doorgestuurd, zie de DETAILS tab in https://www.virustotal.com/gui/url/f0b4b835cdaf171b7d38351767ec65035c402bb7cd49588e983ddb48baa05dfc/details.
#CloudflareIsEvil #BigTechIsEvil #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil
Erik van Straten