COUDFLARE IS EVIL, BIG TECH IS EVIL

Bovenaan het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/46.225.225.20 (zie onder) was er weer een domeinnaam bijgekomen.

Dus opende ik:

https:⧸⧸timsauctionservice.com/whatever

en precies zoals ik verwachtte, werd mijn browser doorgestuurd naar:

https:⧸⧸digitaalformulier.4417.info

een phishingsite (beschermd door Cloudflare) die nog steeds live is.

Het certificaat voor timsauctionservice.com (zie https://crt.sh/?id=24997716485) is uitgegeven op 15 maart, dus reken maar dat er nog meer doorstuursites "in de pijplijn" zitten.

Voor de phishingsite zelf bestaat er, ongetwijfeld (door mij), al minstens één ander live alternatief dat ik nog niet ontdekt heb (zoeken naar een speld in een gigantische hooiberg).

M.a.w. zodra Cloudflare (eindelijk) 4417.info offline haalt, hoeven de criminelen slechts hun doorstuursites aan te passen naar de volgende phishingsite.

Vechten tegen de bierkaai zolang Big Tech geld verdient aan cybercrime.

#CloudflareIsEvil #BigTechIsEvil #Phishing #InfoSec #HetznerIsEvil #Hetzner #Cloudflare #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil #Google #DVcerts #DVcertsSuck

CLOUDFLARE IS EVIL

Vanochtend ontving ik een nieuwe phishingmail met daarin de volgende link:

https:⧸⧸paramountwebsales.com/xiq5n

Als ik die site open, wordt mijn browser weer doorgestuurd naar de volgende phishingwebsite (die al meer dan 1 week live is);

https:⧸⧸digitaalformulier.4417.info

Kennelijk hebben de betrokken criminelen een nieuwe "doorstuur" server gehuurd, nu bij Hetzner, zie het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/46.225.225.20.

Alle websites met onderstaande domeinnamen in de gele rechthoek (als ik daar "/xxxxx" achter zet, waarbij elke x een willekeurige letter of cijfer is) sturen door naar https:⧸⧸digitaalformulier.4417.info.

#Phishing #CloudflareIsEvil #BigTechIsEvil #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil

CLOUDFLARE IS EVIL

Op dezelfde "Panamaserver" als ik eerder noemde (zie het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/190.123.46.57), is nu ook een website met de volgende domeinnaam te vinden:

rackdata.com

Als ik die site (zonder aanvulling in de link) open, wordt mijn browser doorgestuurd naar:

digitaalformulier.4417.info

Zodra dat gebeurt stuurt die site mijn browser door naar een "subpagina" (achter de domeinnaam verschijnt "/id/" gevolgd door een lang hexadecimaal getal).

Nb. het gaat hier om dezelfde nepsite achter Cloudflare die ik ÉÉN WEEK GELEDEN, op 12 maart, beschreef (in https://todon.nl/@ErikvanStraten/116216004495882854). Die is dus nog steeds live.

En detectie nog steeds door slechts 2 van 94 virusscanners (Chong Lua Dao en Webroot, zie https://www.virustotal.com/gui/url/f3b20ec6fad0353aef64a202698e46bffc05c7c3680ae81427c87d044d2b33aa).

TECHNISCHE DETAILS

Als ik de bovenste site door VirusTotal laat analyseren wordt de testende instance (van VirusTotal) doorgestuurd naar de een of andere flutsite (zie de DETAILS tab in https://www.virustotal.com/gui/url/23f6e89cad0bbe637ea309818a8a634cb6b1e5fc2e5e1a08b8e67e42e6c51085/details).

Als ik daarentegen een / en willekeurig 5 letters/cijfers achter de domeinnaam plak:

rackdata.com/1d5ud

wordt de testende instance wél naar de phishingsite doorgestuurd, zie de DETAILS tab in https://www.virustotal.com/gui/url/f0b4b835cdaf171b7d38351767ec65035c402bb7cd49588e983ddb48baa05dfc/details.

#CloudflareIsEvil #BigTechIsEvil #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil

@patrickcmiller : there is nothing sophisticated about this attack; it is business as usual.

I'm tired of C-Level people with thick wallets who know shit.

A zoom in of the screenshot at the top of https://specopssoft.com/blog/phishing-campaign-cisco/ can be seen below.

The browser's address bar clearly shows that http is used (instead of https) but more importantly, the domain name is:

tradixyu.cfd

Instead of complaining and looking for excuses, we need to fix the Internet as I wrote in (among other places) https://todon.nl/@ErikvanStraten/115656812871207370.

#Phishing #PhishingPrevention #GoogleIsEvil #BigTechIsEvil #CloudflareIsEvil #LetsEncryptIsEvil

@urldna : big tech cares shit

https://crt.sh/?q=roblox.com.ml

#BigTechIsEvil #LetsEncryptIsEvil #GoogleIsEvil #SectigoIsEvil #DVcerts #DVcertsAreEvil

@chazh
> "You’re very angry that passkeys don’t close HTTPS cert-shaped holes. But neither do password managers or anything else in a browser."

No. Instead, I'm very angry that big tech makes the internet less secure every day while first telling people to use 2FA to fix that (which was a lie) and now telling people to use passkeys to fix that (which is a lie).

Because people's accounts will keep getting compromised and/or they'll keep getting locked out of their accounts. It's one big hoax.

@cendyne @soatok

#BigTechIsEvil #GoogleIsEvil #LetsEncryptIsEvil #CloudflareIsEvil #AmazonIsEvil #MicrosoftIsEvil #AppleIsEvil

@cendyne : https certs are in the chain of trust.

If they are issued to the wrong sites, passkeys fail.

Note that I will NOT login to my bank (using a passkey or whatever) if it suddenly has a junk LE DV cert (soon valid for 45 days without OCSP), because I expect a decent certificate.

Why don't passkeys enforce AT LEAST an OV (Organization Validated) certificate?

@soatok

#BigTechisEvil #LetsEncryptIsEvil #GoogleIsEvil