Op de Russische server die ik in de toot hierboven noemde, zijn bijgekomen:

https:⧸⧸ramey-photography.com (detectie: 6/94)
https:⧸⧸www.ramey-photography.com (detectie: 5/94)

Zie het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/185.68.93.129.

Beide websites sturen door naar:

https:⧸⧸digitaalformulier.im/html1.html

vanzelfsprekend weer achter Cloudflare (zie het RELATIONS tabblad van https://virustotal.com/gui/ip-address/104.21.31.44).

Druk op een plaatje om te vergroten.

#Phishing #KvK #KvKPhishing #CloudflareIsEvil #CloudflareIsCrimineel #CloudflareBulletProofHosting #InfoSec #CyberCrime

Interessant, de volgende nepsite toont nu een KNAB QR-code (de link in de QR-code begint met "knab-app://qr-login?login_token=<lange_reeks>"):

https:⧸⧸bunq.stakebet.live (IPv4: 216.203.20.170)

zie onderstaande screenshot.

De volgende nepwebsite:

https:⧸⧸bunq.diaojj.com (achter Cloudflare)

is nog live, maar als ik mijn echte telefoonnummer gevolgd door een verzonnen 6-cijferige bunq-app code invoer, blijft er een cirkeltje draaien. Mogelijk ben ik geblacklist, dus ik weet niet of dit voor iedereen geldt.

Denkbaar is dat criminelen een nieuwe scam aan het voorbereiden zijn en er binnenkort nepsites verschijnen met domeinnamen die met "knab." beginnen.

Zie de tweede reactie in deze draad voor hoe deze sites afgelopen zondag werkten.

#CloudFlareIsEvil #Phishing #bunq #knab #InfoSec

🧵3

Ten slotte een screenshot van de feitelijke phishingsite, gemaakt op mijn iPhone.

Eerder beschreef ik deze phishingsite al uitgebreid in https://todon.nl/@ErikvanStraten/116216004495882854.

Als, na veel aandringen, Cloudflare al IETS doet tegen cybercrime, is dat een phishing (of malware) waarschuwing tonen voor een volledige URL, *niet* voor de domeinnaan in kwestie. Daardoor hoeven criminelen niet eens een nieuwe domeinnaam te regelen (ook weinig moeite, maar toch iets meer), zoals ik in https://todon.nl/@ErikvanStraten/116304008307652971 liet zien.

#CloudflareIsEvil

@jeroengui : I very much appreciate your work, but, as a bullet proof proxy service, #CloudflareIsEvil - they're complicit to cybercrime.

Cloudflare warns for malware/phishing for a specific *URL*, not the domain.

A minor change in the adds (or a forwarding site if that is what these scammers use) would bypass Cloudflare's crap measure.

I never saw a malware/phishing warning while opening:

https:⧸⧸keepass-xc.com/index.php

Note: I understand that blocking https:⧸⧸sites.google.com for a single malicious page would be problematic, but that's rather due to the fact that Google Sites sucks.

@keepassxc

#BigTechIsEvil #Malware #Phishing #FakeSites

Hieronder screenshots van hetgeen ik noemde in de toot hierboven:

• De nieuwe ICS phishingsite (achter Cloudflare, geen phishing-waarschuwing);

• De Coudflare phishing-waarschuwing;

• Met "/whatever" achter de link geplakt waarschuwt Cloudflare NIET voor phishing (dus hadden de phishers dat eenvoudig kunnen omzeilen). Na enige tijd meldt Cloudflare dat de site onbereikbaar is.

#ICS #ICSphishing #Phishing #CloudflareIsEvil

ODIDO PHISHING

Er is iets veranderd! Cloudflare waarschuwt nu voor PHISHING als ik open:

https:⧸⧸sozungolgesi.com

Dat was de "doorstuursite" die ik niet benoemde in https://todon.nl/@ErikvanStraten/116274355987240779. Immers, phishers gebruiken tegelijkertijd *meerdere* doorstuursites en vernieuwen ze vaak om te verhinderen dat spamfilters hun phishingmails blokkeren.

Erg effectief is Cloudflare niet, want als ik open:

https:⧸⧸sozungolgesi.com/whatever

waarschuwt Cloudflare *NIET* voor phishing. De cybercrims hebben de site echter opgedoekt, want met bovenstaande link meldt Cloudflare dat de bedoelde site onbereikbaar is.

Er is nog iets veranderd: in elk geval de bovenste twee doorstuursites (de rest heb ik niet gecheckt) die ik noemde in https://todon.nl/@ErikvanStraten/116260867512597776 sturen nu door naar een ANDERE phishingsite (ook achter Cloudflare).

Oftewel, dweilen met de kraan open. In onderstaand plaatje heb ik met groen aangegeven wat (een half uurtje geleden en waaschijnlijk nu nog) werkt, en met rood wat "dood" is.

Nb. de kleine vierkante rode plekjes, ☎️, stellen telefoons voor - d.w.z. dat je gebeld wordt door een bankhelpdeskfraudeur, zoals ik zondag eind van de middag meemaakte (zie https://todon.nl/@ErikvanStraten/116274275041117317).

#CloudflareIsEvil #Phishing #BigTechIsEvil #Odido #OdidoDataLek

@robinadams : I hope that it's limited to that (your browser's address bar reads https:⧸⧸google.com).

But space for search results is limited. So my speculation is that if you click the search result in order to open the actual website, you _still_ get to see AI-manipulated content.

Once Chrome reads https:⧸⧸example.com in its address bar while the page shows altered content of said website, this means that Google FULLY destroyed TLS.

Note: "Google Trust Services" (and others) already partially breaks TLS by handing out DV certificates to Cloudflare proxy servers. You DO NOT have an E2EE connection to the actual website, proven by https://todon.nl/@ErikvanStraten/116263229585961944 (Dutch text, tap translate for English).

Summarizing: your browser has an E2EE connection with a Cloudflare server. Cloudflare can always see and manipulate anything you think you exchange with the actual website. They can read your passwords and hijack any of your accounts even if WebAuthn (FIDO2 hardware key or passkey) is used to log in.

Google already broke https years ago - to prevent ISP's from altering ads or inserting fake clicks on ads. Let's Encrypt was never meant to protect YOU. #DVsucks

@petealexharris @grammasaurus @SteveRudolfi

#TLSisBroken #httpsIsBroken #Authenticity #GoogleIsEvil #CloudflareIsEvil #BigTechIsEvil

Beide volgende sites waren om 23/3 om 08:00 nog live (edit 26/3 om 23:25, alle drie de volgende sites waren, toen ik een paar minuten geleden checkte, nog in de lucht. Zie ook ds reply op deze toot):

https:⧸⧸bunq.diaojj.com (achter Cloudflare)
https:⧸⧸bunq.stakebet.live (216.203.20.170)

Aanvulling, andere scamsite (live sinds 12 maart of eerder, zie https://todon.nl/@ErikvanStraten/116216004495882854 en follow-up in https://todon.nl/@ErikvanStraten/116255199097910985):

https:⧸⧸digitaalformulier.4417.info (ook achter Cloudflare)

Om een indruk te geven wat voor sites zich achter Cloudflare verstoppen, hieronder een screenshot van het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/104.21.21.112

#CloudFlareIsEvil #BigTechIsEvil