Erik van Straten4d ago

PHISHING NA ODIDO DATALEK

Het gaat maar door, weer een nieuwe phishing website gehost achter Cloudflare (zie mijn eerdere toot hierover in https://todon.nl/@ErikvanStraten/116216004495882854).

Ik kreeg weer twee phishingmails, met links naar resp.

https:⧸⧸fmcontacts.net/kve9u
https:⧸⧸drharrington.net/wbh0v

De eerste zat in mijn spambox, de tweede in mijn inbox. Beide junksites sturen mijn browser door naar:

https:⧸⧸digitaalformulier.5178.info        nog live

Steeds dezelfde website maar met een gewijzigde domeinnaam. Eerdere phishingsites (beide ook achter Cloudflare):

https:⧸⧸digitaalformulier.4417.info        nog live
https:⧸⧸digitaalformulier.4415.info        onbereikbaar

Nb. achter https: schreef ik ⧸⧸ i.p.v. // om onbedoeld openen door u te voorkómen (unicode slashes).

#CloudflareIsEvil #OdidoIsEvil #BigTechIsEvil #LetsEncrypt #LetsEncryptIsEvil #Odido #OdidoDataLek #DataLek

Show threadErik van Straten4d ago

Voor de techneuten onder ons:

https://www.virustotal.com/gui/url/23d5ed9c2a51a191d2bbd7f397b997fc896ab21cbfd7048a6c9cdbe7c2146a9a/details

https://www.virustotal.com/gui/url/cb2f4278ecac3d03cb68187edd5643b25db7fe51e4a3fd9267c3ed82677eea22/details

Hierin is te zien dat de sites achter de links (in de phishingmails die ik ontving) doorsturen naar dezelfde phishingsite.

Criminelen gebruiken dit soort "wegwerpsites" in hun phishingmails om detectie door spamfilters te bemoeilijken.

Het is véél te eenvoudig én goedkoop om anoniem websites in de lucht te slingeren - #InternetIsZiek

Show threadErik van Straten4d ago

En een derde phishingmail (op mijn andere door Odido gelekte e-mailadres, deze zat in de spambox) met link naar:

https:⧸⧸betbigcity.net/ggr7j

Ook deze stuurt de browser door naar:

https:⧸⧸digitaalformulier.5178.info

Hieronder een screenshot van het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/190.123.46.57.

Zie de ALT TXT van het plaatje voor meer info.

#InternetIsZiek #BigTechIsEvil #CloudflareIsEvil #Odido #Datalek #OdidoDatalek #OdidoIsEvil

Show threadErik van Straten4d ago

Ze zijn een piepklein beetje wakker bij Cloudflare...

Voor https:⧸⧸digitaalformulier.5178.info krijg je nu een phishing waarschuwing, maar niet voor:

https:⧸⧸digitaalformulier.5178.info/index.html

Dus als de criminelen de link aanvullen met een random identifier waarschuwt Cloudflare niet.

Tevens lijkt het erop dat de verbinding tussen de Cloudflare proxy-server en de *feitelijke* webserver géén https gebruikt, maar http (poort 80).

Ook https:⧸⧸digitaalformulier.4417.info is nog gewoon live.

#CloudflareIsEvil #BigTechIsEvil

Show threadErik van Straten

CLOUDFLARE IS EVIL

Op dezelfde "Panamaserver" als ik eerder noemde (zie het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/190.123.46.57), is nu ook een website met de volgende domeinnaam te vinden:

rackdata.com

Als ik die site (zonder aanvulling in de link) open, wordt mijn browser doorgestuurd naar:

digitaalformulier.4417.info

Zodra dat gebeurt stuurt die site mijn browser door naar een "subpagina" (achter de domeinnaam verschijnt "/id/" gevolgd door een lang hexadecimaal getal).

Nb. het gaat hier om dezelfde nepsite achter Cloudflare die ik ÉÉN WEEK GELEDEN, op 12 maart, beschreef (in https://todon.nl/@ErikvanStraten/116216004495882854). Die is dus nog steeds live.

En detectie nog steeds door slechts 2 van 94 virusscanners (Chong Lua Dao en Webroot, zie https://www.virustotal.com/gui/url/f3b20ec6fad0353aef64a202698e46bffc05c7c3680ae81427c87d044d2b33aa).

TECHNISCHE DETAILS

Als ik de bovenste site door VirusTotal laat analyseren wordt de testende instance (van VirusTotal) doorgestuurd naar de een of andere flutsite (zie de DETAILS tab in https://www.virustotal.com/gui/url/23f6e89cad0bbe637ea309818a8a634cb6b1e5fc2e5e1a08b8e67e42e6c51085/details).

Als ik daarentegen een / en willekeurig 5 letters/cijfers achter de domeinnaam plak:

rackdata.com/1d5ud

wordt de testende instance wél naar de phishingsite doorgestuurd, zie de DETAILS tab in https://www.virustotal.com/gui/url/f0b4b835cdaf171b7d38351767ec65035c402bb7cd49588e983ddb48baa05dfc/details.

#CloudflareIsEvil #BigTechIsEvil #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil

Mar 19 at 9:46amWeb
Show threadErik van Straten1d ago

CLOUDFLARE IS EVIL

Vanochtend ontving ik een nieuwe phishingmail met daarin de volgende link:

https:⧸⧸paramountwebsales.com/xiq5n

Als ik die site open, wordt mijn browser weer doorgestuurd naar de volgende phishingwebsite (die al meer dan 1 week live is);

https:⧸⧸digitaalformulier.4417.info

Kennelijk hebben de betrokken criminelen een nieuwe "doorstuur" server gehuurd, nu bij Hetzner, zie het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/46.225.225.20.

Alle websites met onderstaande domeinnamen in de gele rechthoek (als ik daar "/xxxxx" achter zet, waarbij elke x een willekeurige letter of cijfer is) sturen door naar https:⧸⧸digitaalformulier.4417.info.

#Phishing #CloudflareIsEvil #BigTechIsEvil #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil

Show threadErik van Straten18h ago

COUDFLARE IS EVIL, BIG TECH IS EVIL

Bovenaan het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/46.225.225.20 (zie onder) was er weer een domeinnaam bijgekomen.

Dus opende ik:

https:⧸⧸timsauctionservice.com/whatever

en precies zoals ik verwachtte, werd mijn browser doorgestuurd naar:

https:⧸⧸digitaalformulier.4417.info

een phishingsite (beschermd door Cloudflare) die nog steeds live is.

Het certificaat voor timsauctionservice.com (zie https://crt.sh/?id=24997716485) is uitgegeven op 15 maart, dus reken maar dat er nog meer doorstuursites "in de pijplijn" zitten.

Voor de phishingsite zelf bestaat er, ongetwijfeld (door mij), al minstens één ander live alternatief dat ik nog niet ontdekt heb (zoeken naar een speld in een gigantische hooiberg).

M.a.w. zodra Cloudflare (eindelijk) 4417.info offline haalt, hoeven de criminelen slechts hun doorstuursites aan te passen naar de volgende phishingsite.

Vechten tegen de bierkaai zolang Big Tech geld verdient aan cybercrime.

#CloudflareIsEvil #BigTechIsEvil #Phishing #InfoSec #HetznerIsEvil #Hetzner #Cloudflare #LetsEncryptIsEvil #LetsEncrypt #GoogleIsEvil #Google #DVcerts #DVcertsSuck

Show threadAngry sweet antiracist enby1d ago
@ErikvanStraten wat is de rol van cloudflare hierin?
Show threadErik van Straten1d ago

@vreer : de phishingsites die ik noemde "verstoppen" zich achter Cloudflare (dat geldt voor steeds meer nepsites). Cloudflare claimt dat zij, als "doorgever", niet verantwoordelijk zijn voor de inhoud van websites - maar zij verhullen het IP-adres van de feitelijke servers en bieden daarmee nóg meer anonimiteit.

Cloudflare biedt haar diensten gratis of voor weinig geld aan, aan volstrekt anonieme partijen. Zie bijv. https://arstechnica.com/security/2024/07/cloudflare-once-again-comes-under-pressure-for-enabling-abusive-sites/.

Daarnaast maken veel criminelen misbruik van gratis *.workers.dev en *.pages.dev websites (ook van Cloudflare; zie o.a. https://www.levelblue.com/blogs/spiderlabs-blog/its-raining-phish-and-scams-how-cloudflare-pages-dev-and-workers-dev-domains-get-abused).

In https://infosec.exchange/@Bitwiper/112772374882006712 kun je meer lezen over Cloudflare.

Op 12 maart was de phishingsite "digitaalformulier.4417.info" een tijdje down, maar NIET de Cloudflare proxyserver. In de screenshot die ik toen maakte (zie onder) kun je zien dat mijn browser een https (versleutelde) verbinding had met een proxyserver van Cloudflare.

Cloudflare ZIET dus al het netwerkverkeer met sites "achter hen" (daarmee zien ze ook inloggegevens voorbij komen, en daar maken ze geen geheim van: https://blog.cloudflare.com/password-reuse-rampant-half-user-logins-compromised/). Cloudflare zou dus zeer eenvoudig zelf kunnen analyseren of het om een phishingsite gaat en zelf kunnen blokkeren, maar dat doet zij niet.

Medeplichtig aan cybercrime - met winstoogmerk.

#CloudflareIsEvil

Show threadMartinus Verburg1d ago
@ErikvanStraten melden bij Hetzner, lijkt me
Show threadErik van Straten1d ago

@codeskipper : vroeger heb ik dat veel gedaan, maar daar ben ik mee gestopt (ongeacht de hoster). Er werd zelden iets met mijn meldingen gedaan. Het is mijn woord tegen dat van de huurders van zo'n server of VPS, en afsluiten betekent inkomstenderving.

Daar komt bij dat die websites bij Herzner zelf "niet kwaadaardig" zijn maar slechts doorsturen.

Ik wil nog wel eens banken e.d. tippen, want naar hun klachten wordt vaak wél geluisterd.