CLOUDFLARE IS EVIL

Ook de volgende twee websites, waarvan ik 3 dagen geleden schreef (https://todon.nl/@ErikvanStraten/116323126760276917) dat ze uit de lucht gehaald leken, zijn weer live (zie onderstaande zojuist gemaakte screenshots):

https:⧸⧸bunq.stakebet.live (IPv4: 216.203.20.170)
https:⧸⧸bunq.diaojj.com (achter Cloudflare)

nu ook live, maar (nog?) met een bunq pagina:

https:⧸⧸knab.diaojj.com (nieuw, ook achter Cloudflare)

Op die laatste twee links checkt een Cloudflare bot of u een mens bent alvorens u door te verbinden met de feitelijke server.

De eerste twee phishing websites beschreef ik op 22 maart in https://todon.nl/@ErikvanStraten/116274355987240779.

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #Phishing #CyberCrime #bunq #bunqPhising #knab #knabPhishing #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende ICS phishing website (zich verstoppend achter Cloudflare) is nog steeds live (zie screenshot):

https:⧸⧸lcs.1419.info

Welke websites op dit moment naar die phishingsite doorsturen heb ik nog niet kunnen vinden. Eerder waren dat de volgende "doorstuursites" bij Herzner (te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/46.225.225.20), maar deze lijken nu allemaal "uit de lucht" te zijn gehaald:

https:⧸⧸[www.]dynamic-1001.com
https:⧸⧸[www.]ephemeralgarbage.com
https:⧸⧸[www.]timsauctionservice.com
https:⧸⧸[www.]paramountwebsales.com
https:⧸⧸[www.]iserve.co.uk
https:⧸⧸[www.]eldiabaptismoglobal.net
https:⧸⧸[www.]insuranceopedia.ca
https:⧸⧸[www.]spartancu.com
https:⧸⧸[www.]wallstreetedge.com

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant eerder ook doorstuurde naar de phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishing-e-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #ICS #ICSphising #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende websites sturen uw browser op dit moment door naar de volgende Bitvavo phishingsite (zoals zovele nepsites, verstopt ook deze zich achter Cloudflare):

https:⧸⧸digitaalformulier.im/two.html (zie screenshot)

Al die doorstuursites zijn te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/185.68.93.129.

https:⧸⧸[www.]ramey-photography.com
https:⧸⧸[www.]therapeutix.com
https:⧸⧸[www.]bidonalbany.com
https:⧸⧸[www.]kkbrocks.com
https:⧸⧸[www.]bidonmacon.com
https:⧸⧸[www.]cheqpaq.com
https:⧸⧸[www.]isimgt.com
https:⧸⧸[www.]247.co.il
https:⧸⧸[www.]cbc-restaurant-corp.com
https:⧸⧸[www.]islandnight.org

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant doorstuurt naar de Bitvavo phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishinge-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #Bitvavo #BitvavoPhising #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende websites sturen uw browser op dit moment door naar de volgende KvK phishingsite (zoals zovele nepsites, achter Cloudflare):

https:⧸⧸digitaalformulier.im/html1.html (zie screenshot)

Al die doorstuursites zijn te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/190.123.46.57, met uitzondering van de site waar ik een IP-adres achter gezet, die is te vinden in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/209.50.247.67.

https:⧸⧸[www.]fqhospitality.com (nieuw)
https:⧸⧸[www.]rackdata.com
https:⧸⧸ns1.rackdata.com (209.50.247.67)
https:⧸⧸ns2.rackdata.com
https:⧸⧸[www.]nflhouse2013.com
https:⧸⧸[www.]betbigcity.net
https:⧸⧸[www.]drharrington.net
https:⧸⧸[www.]winebidinternational.com
https:⧸⧸[www.]spectrumwi.net
https:⧸⧸[www.]retirementheadquarters.info
https:⧸⧸[www.]fmcontacts.net
https:⧸⧸[www.]omgfr.com

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant doorstuurt naar de KvK phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishinge-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #KvK #KvKphising #Odido #OdidoDataLek

PHISHING - update 1/2

De volgende sites waren gisteravond nog live maar nu niet meer:

https:⧸⧸bunq.stakebet.live (IPv4: 216.203.20.170)
https:⧸⧸bunq.diaojj.com (achter Cloudflare)

Die laatste link laat Cloudflare testen of U wel betrouwbaar bent en meldt daarna een time-out met de feitelijke server.

Dezelfde groep cybercriminelen zit kennelijk nog niet achter de tralies, de volgende phishingsites waren zojuist nog live, op de volgende na - die nog niet of niet meer live is:

https:⧸⧸knab.stakebet.live (dit subdomein achter Cloudflare)

In de volgende toot screenshots met domeinnamen van "doorstuursites".

P.S. druk op een plaatje om te vergroten.

#Phishing #Odido #OdidoDataLek #knab #bunq #KvK #BitVavo #knabPhishing #bunqPhishing #KvKPhishing #BitVavoPhishing #Cloudflare #CloudflareIsEvil #CloudflareIsCrimineel

@yawnbox : having lots of email addresses (or aliases) requires a lot of adminstration, so unfortunately it is not a practical solution for most people.

I use multiple aliases, but never expected Odido to leak both of my regularly used email aliases so didn't allocate a unique alias for them.

OTOH I have this weird hobby: analysing phishing trics and malware. I can say that I've not been bored since the Odido data leak.

#OdidoIsEvil #Odido #DataLek #OdidoDataLek #Phishing #Malware #CyberCrime

ODIDO PHISHING

Er is iets veranderd! Cloudflare waarschuwt nu voor PHISHING als ik open:

https:⧸⧸sozungolgesi.com

Dat was de "doorstuursite" die ik niet benoemde in https://todon.nl/@ErikvanStraten/116274355987240779. Immers, phishers gebruiken tegelijkertijd *meerdere* doorstuursites en vernieuwen ze vaak om te verhinderen dat spamfilters hun phishingmails blokkeren.

Erg effectief is Cloudflare niet, want als ik open:

https:⧸⧸sozungolgesi.com/whatever

waarschuwt Cloudflare *NIET* voor phishing. De cybercrims hebben de site echter opgedoekt, want met bovenstaande link meldt Cloudflare dat de bedoelde site onbereikbaar is.

Er is nog iets veranderd: in elk geval de bovenste twee doorstuursites (de rest heb ik niet gecheckt) die ik noemde in https://todon.nl/@ErikvanStraten/116260867512597776 sturen nu door naar een ANDERE phishingsite (ook achter Cloudflare).

Oftewel, dweilen met de kraan open. In onderstaand plaatje heb ik met groen aangegeven wat (een half uurtje geleden en waaschijnlijk nu nog) werkt, en met rood wat "dood" is.

Nb. de kleine vierkante rode plekjes, ☎️, stellen telefoons voor - d.w.z. dat je gebeld wordt door een bankhelpdeskfraudeur, zoals ik zondag eind van de middag meemaakte (zie https://todon.nl/@ErikvanStraten/116274275041117317).

#CloudflareIsEvil #Phishing #BigTechIsEvil #Odido #OdidoDataLek

Zojuist heb ik aangifte gedaan op https://politie.nl.

Beide sites zijn nu nog live:

https:⧸⧸bunq.diaojj.com (achter Cloudflare)
https:⧸⧸bunq.stakebet.live (216.203.20.170)

Maar eens zien of de Politie hier (op zondagavond) iets mee kan, d.w.z. in elk geval #Cloudflare ervan overtuigen dat die eerste side uit de lucht moet.

#CloudflareIsEvil dus ik verwacht er niks van. De volgende site, ook achter Cloudflare, is ook nog steeds live:

https:⧸⧸digitaalformulier.4417.info

Zie https://todon.nl/@ErikvanStraten/116255199097910985 en verder.

Aan de andere kant is dat dweilen met de kraan open, want voor weinig geld en met weinig moeite hebben de criminelen zo weer nieuwe domeinnamen voor dezelfde nepsites.

M.b.t. de Cloudflare "evilness" zie https://todon.nl/@ErikvanStraten/116263229585961944.

Over de bellende nep bunq medewerker schreef ik vandaag ook in https://www.security.nl/posting/929480/nep+bunq+beller+%28odido+lek%29.

#BigTechIsEvil #InternetIsZiek #OdidoIsEvil #Odido #DataLek #OdidoDataLek #Aangifte #Politie #CyberCrime #BankHelpDeskFraude

En een derde phishingmail (op mijn andere door Odido gelekte e-mailadres, deze zat in de spambox) met link naar:

https:⧸⧸betbigcity.net/ggr7j

Ook deze stuurt de browser door naar:

https:⧸⧸digitaalformulier.5178.info

Hieronder een screenshot van het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/190.123.46.57.

Zie de ALT TXT van het plaatje voor meer info.

#InternetIsZiek #BigTechIsEvil #CloudflareIsEvil #Odido #Datalek #OdidoDatalek #OdidoIsEvil