Phishing na Odido datalek 🧵1 (draadje)

Vanochtend kreeg ik een phishingmail in mijn inbox (niet de spambox). Sinds Odido mijn e-mailadres gelekt heeft, ontvang ik bijna elke dag één of meer phishing-mails.

In die mail (foto verderop in deze draad) staat:

beste heer/mevrouw,

er staat een ongelezen bericht in uw
persoonlijke berichtenbox van mijnoverheid.

Hoogachtend,
Klantenservice

Onder " persoonlijke berichtenbox" zat een link. Als ik daarop druk, opent de webbrowser en verschijnt een pagina waar u hieronder een screenshot (schermopname) van ziet.

Alles wat u ziet is nep of onbelangrijk, behalve de domeinnaam (websitenaam of webadres):

digitaalformulier.4417.info (niet zelf openen!)

Het "Top Level Domain" hier, "info", wordt (hopelijk) nooit gebruikt door de Nederlandse overheid - en zeker niet voor "Mijn Berichtenbox" (wel: nl).

De hoofddomeinnaam, "4417.info" is dus niet van de overheid. Het subdomein "digitaalformulier.4417.info" dus ook niet!

Nb. in veel browsers zit de adresbalk onderin, ik heb het zelf zo ingesteld dat deze bovenin zit (de domeinnaam is het éérste dat ik wil zien).

#Odido #Datalek #Phishing #BigTechIsEvil #CloudflareIsEvil #GoogleIsEvil #LetsEncryptIsEvil #DVcertsAreEvil #DVcertsAreWorthless #DVcertsArePointless #DVcerts

🧵1/3 met screenshot 5️⃣ behorende bij https://www.security.nl/posting/904175/qrco_de+op+parkeerautomaat - één dag na publicatie van dat artikel en de follow-up zojuist (https://www.security.nl/posting/904328).

Bron voor de QR-code: https://www.omroepwest.nl/verkeer/5012600/waarschuwing-voor-oplichting-met-valse-qr-stickers-op-parkeerautomaten.

De screenshot hieronder, nummer 5️⃣, is van na de volgende handelingen: (in gevaarlijke links heb ik de '/' vervangen door '\' om onbedoeld openen te voorkómen):

1️⃣ In Chrome onder Android openen van de link in de QR-code:
https:\\qrco.de\bgEGZn

2️⃣ In een pagina met een EasyPark logo staat:
Waar ben je geparkeerd ?
met een invulveld voor een vier-cijferige code. Ik voer wat willekeurigs in.

In de volgende pagina (waar ik geen screenshot van toon, niet echt boeiend) wordt om een autokenteken (zonder streepjes) gevraagd. Daar vul ik in:
27XKH5
(volgens https://www.rdwdata.nl/kenteken/27XKH5?search=1 was van de auto met dat kenteken de APK-vervaldatum 22-06-2017).

3️⃣ Er verschijnt een pagina met de vraag hoe lang je wilt parkeren. Opmerkelijk: hierin verschijnt de volgende ROEMEENSE tekst:
"Tariful se calculează automat."
En in het invulveld (feitelijk een dropdown menu) voor uren staat: "0 ore" vóóringevuld.

Erg slordig, maar ga er veiligheidshalve vanuit dat er bij een volgende aanval niet van dit soort stomme (vertaal-/taal-) fouten worden gemaakt.

4️⃣ Na drukken op het urenveld verschijnt een pagina met keuzes voor resp.
0 ore
1 oră
2 ore
3 ore
etcetera.

Ik kies voor "2 ore". Bij terugkomst in 3️⃣ laat ik minuten op nul en druk op de knop "Continuă".

5️⃣ De betaalpagina verschijnt, deze heeft de volgende URL:
https:\\161-35-211-42.cprapid.com\easy\pay.php
(die link openen zonder voornoemde stappen te doorlopen werkte zojuist ook, er is dan geen kenteken en geen parkeertijd zichtbaar).

6️⃣ Dezelfde betaalpagina (een deel ervan) in landschapsmodus , met de hele URL zichtbaar.

Screenshots 1️⃣ t/m 4️⃣ ziet u in🧵2/3 en
screenshot 6️⃣ in🧵3/3.

#Phishing #QRcode #EasyPark #Parkeren #Authenticatie #Impersonatie #Oplichting #InfoSec #QR #DV #DVcerts #BigTechIsEvil #DigitalOcean #LetsEncrypt

@[email protected]

Dankjewel voor deze verhelderende uitleg. Ik heb er niet bij stilgestaan dat door Cloudflare grote blokken van het internet letterlijk kunnen worden uitgeschakeld, door simpelweg een script te draaien

#Risico #Economie #Cloudflare #Fastly #CDN #AitM #MitM #FISASection702 #FISA #ThreeLetterAgencies #Trump #Sbowden #E2EE #InfoSec #VVD #PVV #CIDI #VT #VirusTotal #DVCerts #DV #OV #EV #QWAC #CyberCrime #NepWebsites #FakeWebsites