Vanochtend ontving ik een phishingmail zogenaamd van bunq (ja, getelateerd aan het telefoontje).

Na klikken op de link daarin werd mijn browser, via een tussensite (achter Cloudflare), doorgestuurd naar (ook achter Cloudflare):

https:⧸⧸bunq.diaojj.com

Daar moest ik mijn telefoonnummer invullen (gedaan, toch al gelekt) en vervolgens mijn pincode van de bunq app (ik heb onzincijfers ingevuld).

Na even wachten werd mijn browser doorgestuurd naar:

https:⧸⧸bunq.stakebet.live

(andere provider dan Cloudflare). Die site toont een steeds veranderende QR-code die ik met mijn bunq app zou moeten scannen (niet gedaan natuurlijk).

In die QR-code zit een (normaal onzichtbare) link die begint met https:⧸⧸qr.bunq.com/ (met een hele riedel tekens daarachter).

Kort na het middaguur heb ik deze info aan bunq gemeld. Dat heeft NOG NIET tot afsluiting van de websites geleid, want #CloudFlareIsEvil - zij is medeplichtig aan cybercrime. Beide sites zijn nog live.

De bellende dame (later vandaag) liet mij ook eerstgenoemde site bezoeken, met als doel om de bunq app op hun smartphone aan mijn bunq bankrekening te koppelen (dat feestje ging natuurlijk niet door).

#BigTechIsEvil #InternetIsZiek #bunq #phishing

Zojuist heb ik aangifte gedaan op https://politie.nl.

Beide sites zijn nu nog live:

https:⧸⧸bunq.diaojj.com (achter Cloudflare)
https:⧸⧸bunq.stakebet.live (216.203.20.170)

Maar eens zien of de Politie hier (op zondagavond) iets mee kan, d.w.z. in elk geval #Cloudflare ervan overtuigen dat die eerste side uit de lucht moet.

#CloudflareIsEvil dus ik verwacht er niks van. De volgende site, ook achter Cloudflare, is ook nog steeds live:

https:⧸⧸digitaalformulier.4417.info

Zie https://todon.nl/@ErikvanStraten/116255199097910985 en verder.

Aan de andere kant is dat dweilen met de kraan open, want voor weinig geld en met weinig moeite hebben de criminelen zo weer nieuwe domeinnamen voor dezelfde nepsites.

M.b.t. de Cloudflare "evilness" zie https://todon.nl/@ErikvanStraten/116263229585961944.

Over de bellende nep bunq medewerker schreef ik vandaag ook in https://www.security.nl/posting/929480/nep+bunq+beller+%28odido+lek%29.

#BigTechIsEvil #InternetIsZiek #OdidoIsEvil #Odido #DataLek #OdidoDataLek #Aangifte #Politie #CyberCrime #BankHelpDeskFraude

Beide volgende sites waren om 23/3 om 08:00 nog live (edit 26/3 om 23:25, alle drie de volgende sites waren, toen ik een paar minuten geleden checkte, nog in de lucht. Zie ook ds reply op deze toot):

https:⧸⧸bunq.diaojj.com (achter Cloudflare)
https:⧸⧸bunq.stakebet.live (216.203.20.170)

Aanvulling, andere scamsite (live sinds 12 maart of eerder, zie https://todon.nl/@ErikvanStraten/116216004495882854 en follow-up in https://todon.nl/@ErikvanStraten/116255199097910985):

https:⧸⧸digitaalformulier.4417.info (ook achter Cloudflare)

Om een indruk te geven wat voor sites zich achter Cloudflare verstoppen, hieronder een screenshot van het RELATIONS tabblad in https://www.virustotal.com/gui/ip-address/104.21.21.112

#CloudFlareIsEvil #BigTechIsEvil

ODIDO PHISHING

Er is iets veranderd! Cloudflare waarschuwt nu voor PHISHING als ik open:

https:⧸⧸sozungolgesi.com

Dat was de "doorstuursite" die ik niet benoemde in https://todon.nl/@ErikvanStraten/116274355987240779. Immers, phishers gebruiken tegelijkertijd *meerdere* doorstuursites en vernieuwen ze vaak om te verhinderen dat spamfilters hun phishingmails blokkeren.

Erg effectief is Cloudflare niet, want als ik open:

https:⧸⧸sozungolgesi.com/whatever

waarschuwt Cloudflare *NIET* voor phishing. De cybercrims hebben de site echter opgedoekt, want met bovenstaande link meldt Cloudflare dat de bedoelde site onbereikbaar is.

Er is nog iets veranderd: in elk geval de bovenste twee doorstuursites (de rest heb ik niet gecheckt) die ik noemde in https://todon.nl/@ErikvanStraten/116260867512597776 sturen nu door naar een ANDERE phishingsite (ook achter Cloudflare).

Oftewel, dweilen met de kraan open. In onderstaand plaatje heb ik met groen aangegeven wat (een half uurtje geleden en waaschijnlijk nu nog) werkt, en met rood wat "dood" is.

Nb. de kleine vierkante rode plekjes, ☎️, stellen telefoons voor - d.w.z. dat je gebeld wordt door een bankhelpdeskfraudeur, zoals ik zondag eind van de middag meemaakte (zie https://todon.nl/@ErikvanStraten/116274275041117317).

#CloudflareIsEvil #Phishing #BigTechIsEvil #Odido #OdidoDataLek

Hieronder screenshots van hetgeen ik noemde in de toot hierboven:

• De nieuwe ICS phishingsite (achter Cloudflare, geen phishing-waarschuwing);

• De Coudflare phishing-waarschuwing;

• Met "/whatever" achter de link geplakt waarschuwt Cloudflare NIET voor phishing (dus hadden de phishers dat eenvoudig kunnen omzeilen). Na enige tijd meldt Cloudflare dat de site onbereikbaar is.

#ICS #ICSphishing #Phishing #CloudflareIsEvil

Interessant, de volgende nepsite toont nu een KNAB QR-code (de link in de QR-code begint met "knab-app://qr-login?login_token=<lange_reeks>"):

https:⧸⧸bunq.stakebet.live (IPv4: 216.203.20.170)

zie onderstaande screenshot.

De volgende nepwebsite:

https:⧸⧸bunq.diaojj.com (achter Cloudflare)

is nog live, maar als ik mijn echte telefoonnummer gevolgd door een verzonnen 6-cijferige bunq-app code invoer, blijft er een cirkeltje draaien. Mogelijk ben ik geblacklist, dus ik weet niet of dit voor iedereen geldt.

Denkbaar is dat criminelen een nieuwe scam aan het voorbereiden zijn en er binnenkort nepsites verschijnen met domeinnamen die met "knab." beginnen.

Zie de tweede reactie in deze draad voor hoe deze sites afgelopen zondag werkten.

#CloudFlareIsEvil #Phishing #bunq #knab #InfoSec

PHISHING - update 1/2

De volgende sites waren gisteravond nog live maar nu niet meer:

https:⧸⧸bunq.stakebet.live (IPv4: 216.203.20.170)
https:⧸⧸bunq.diaojj.com (achter Cloudflare)

Die laatste link laat Cloudflare testen of U wel betrouwbaar bent en meldt daarna een time-out met de feitelijke server.

Dezelfde groep cybercriminelen zit kennelijk nog niet achter de tralies, de volgende phishingsites waren zojuist nog live, op de volgende na - die nog niet of niet meer live is:

https:⧸⧸knab.stakebet.live (dit subdomein achter Cloudflare)

In de volgende toot screenshots met domeinnamen van "doorstuursites".

P.S. druk op een plaatje om te vergroten.

#Phishing #Odido #OdidoDataLek #knab #bunq #KvK #BitVavo #knabPhishing #bunqPhishing #KvKPhishing #BitVavoPhishing #Cloudflare #CloudflareIsEvil #CloudflareIsCrimineel

Nog zeven phishing-websites die niet geblokkeerd worden door Cloudflare (met screenshots van de eerste vier, de rest zijn ook Cloudflare time-out pagina's):

https:⧸⧸digitaalformulier.4417.info (sinds minstens 12 maart)
https:⧸⧸ing.stakebet.live
https:⧸⧸abnamro.stakebet.live
https:⧸⧸rabobank.stakebet.live
https:⧸⧸triodos.stakebet.live
https:⧸⧸asn.stakebet.live
https:⧸⧸n26.stakebet.live

Mogelijk zijn de phishermen overgestapt op een andere domeinnaam dan "stakebet punt live" die ik (nog) niet ken, met subdomeinen die waarschijnlijk ook achter bullet proof hoster Cloudflare zitten.

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #Phishing #CloudflareBulletProofHosting #ING #INGphishing #ABNAmro #ABNAmroPhishing #Rabobank #RabobankPhishing #Triodos #TriodosPhishing #ASN #ASNbank #ASNphishing #ASNbankPhishing #N26 #N26phishing

CLOUDFLARE IS EVIL

De volgende websites sturen uw browser op dit moment door naar de volgende KvK phishingsite (zoals zovele nepsites, achter Cloudflare):

https:⧸⧸digitaalformulier.im/html1.html (zie screenshot)

Al die doorstuursites zijn te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/190.123.46.57, met uitzondering van de site waar ik een IP-adres achter gezet, die is te vinden in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/209.50.247.67.

https:⧸⧸[www.]fqhospitality.com (nieuw)
https:⧸⧸[www.]rackdata.com
https:⧸⧸ns1.rackdata.com (209.50.247.67)
https:⧸⧸ns2.rackdata.com
https:⧸⧸[www.]nflhouse2013.com
https:⧸⧸[www.]betbigcity.net
https:⧸⧸[www.]drharrington.net
https:⧸⧸[www.]winebidinternational.com
https:⧸⧸[www.]spectrumwi.net
https:⧸⧸[www.]retirementheadquarters.info
https:⧸⧸[www.]fmcontacts.net
https:⧸⧸[www.]omgfr.com

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant doorstuurt naar de KvK phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishinge-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #KvK #KvKphising #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende websites sturen uw browser op dit moment door naar de volgende Bitvavo phishingsite (zoals zovele nepsites, verstopt ook deze zich achter Cloudflare):

https:⧸⧸digitaalformulier.im/two.html (zie screenshot)

Al die doorstuursites zijn te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/185.68.93.129.

https:⧸⧸[www.]ramey-photography.com
https:⧸⧸[www.]therapeutix.com
https:⧸⧸[www.]bidonalbany.com
https:⧸⧸[www.]kkbrocks.com
https:⧸⧸[www.]bidonmacon.com
https:⧸⧸[www.]cheqpaq.com
https:⧸⧸[www.]isimgt.com
https:⧸⧸[www.]247.co.il
https:⧸⧸[www.]cbc-restaurant-corp.com
https:⧸⧸[www.]islandnight.org

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant doorstuurt naar de Bitvavo phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishinge-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #Bitvavo #BitvavoPhising #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

De volgende ICS phishing website (zich verstoppend achter Cloudflare) is nog steeds live (zie screenshot):

https:⧸⧸lcs.1419.info

Welke websites op dit moment naar die phishingsite doorsturen heb ik nog niet kunnen vinden. Eerder waren dat de volgende "doorstuursites" bij Herzner (te zien in het RELATIONS tabblad van https://www.virustotal.com/gui/ip-address/46.225.225.20), maar deze lijken nu allemaal "uit de lucht" te zijn gehaald:

https:⧸⧸[www.]dynamic-1001.com
https:⧸⧸[www.]ephemeralgarbage.com
https:⧸⧸[www.]timsauctionservice.com
https:⧸⧸[www.]paramountwebsales.com
https:⧸⧸[www.]iserve.co.uk
https:⧸⧸[www.]eldiabaptismoglobal.net
https:⧸⧸[www.]insuranceopedia.ca
https:⧸⧸[www.]spartancu.com
https:⧸⧸[www.]wallstreetedge.com

Nb. ik heb "https:⧸⧸" i.p.v. "https://" gebruikt om onbedoeld openen door u te voorkómen. Met "[www.] voorafgaand aan de domeinnaam bedoel ik dat ook die variant eerder ook doorstuurde naar de phishingsite.

Scammers gebruiken meerdere en steeds nieuwe doorstuursites om te voorkómen dat spamfilters hun phishing-e-mails blokkeren.

#CloudflareIsEvil #Phishing #CyberCrime #ICS #ICSphising #Odido #OdidoDataLek

CLOUDFLARE IS EVIL

Ook de volgende twee websites, waarvan ik 3 dagen geleden schreef (https://todon.nl/@ErikvanStraten/116323126760276917) dat ze uit de lucht gehaald leken, zijn weer live (zie onderstaande zojuist gemaakte screenshots):

https:⧸⧸bunq.stakebet.live (IPv4: 216.203.20.170)
https:⧸⧸bunq.diaojj.com (achter Cloudflare)

nu ook live, maar (nog?) met een bunq pagina:

https:⧸⧸knab.diaojj.com (nieuw, ook achter Cloudflare)

Op die laatste twee links checkt een Cloudflare bot of u een mens bent alvorens u door te verbinden met de feitelijke server.

De eerste twee phishing websites beschreef ik op 22 maart in https://todon.nl/@ErikvanStraten/116274355987240779.

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #Phishing #CyberCrime #bunq #bunqPhising #knab #knabPhishing #Odido #OdidoDataLek

CLOUDFLLARE IS EVIL

Nog steeds live en GEEN CLOUDFLARE PHISHING WAARSCHUWING bij deze URL:

https:⧸⧸keepass-xc.com/index.php

#Cloudflare #CloudflareIsEvil #Phishing #Malware

CLOUDFLARE IS EVIL

Deze phishing site verstopt zich al sinds minstens 12 maart achter Cloudflare en is nog steeds live:

https:⧸⧸digitaalformulier.4417.info

Die nepsite beschreef ik uitgebreid (op 12 maart) in https://todon.nl/@ErikvanStraten/116216004495882854 (en later in https://todon.nl/@ErikvanStraten/116306742704936688).

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLARE IS EVIL

Dit wist ik niet, maar kennelijk ondersteunt Cloudflare ook "catch all" domeinnamen - d.w.z. willekeurige subdomeinnamen, want de domeinmaam in de volgende link resolvt ook naar 104.21.29.11 en 172.67.148.69:

https:⧸⧸whatever.stakebet.info (achter Cloudflare)

De enige uitzondering die ik hierop ken is:

https:⧸⧸bunq.stakebet.info (niet achter Cloudflare)

die recentelijk van IP-adres veranderd is:
oud: 216.203.20.170
nieuw: 216.203.20.204

Laatstgenoemde nepsite beschreef ik gisteren in https://todon.nl/@ErikvanStraten/116342622151841075.

Alle andere *.stakebet.info (anders dan bunq.*) sites tonen nu een nginx welkomstpagina (eerder gaf dat nog een connection time-out, zie https://todon.nl/@ErikvanStraten/116326002732196717).

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLARE IS EVIL

Verstopt zich ook achter Cloudflare:

https:⧸⧸signandgo.im/tracking/customsfees/track=NL1234567890123

Dat laatste getal heb ik zelf ingevoerd (het wijkt af van het getal dat ik zag na op het openen van de phishingmail die ik ontving).

Druk op een plaatje om te vergroten.

#CloudflareIsEvil #BigTechIsEvil #CloudflareBulletProofHosting #Phishing #InfoSec

CLOUDFLARE IS EVIL

De URL in de phishingmails die ik ontving voor de DHL phishingsite die ik in mijn vorige toot beschreef, stuurt mijn browser via respectievelijk:

https:⧸⧸track.pstmrk.it (achter Amazon)
https:⧸⧸13his.atoms.world

Die laatste zit (samen met een heel stel broertjes en zusjes) ook achter Cloudflare en zij gebruiken een certificaat van "Google Trust Services".

Edit: meer info in https://security.nl/posting/931203.

#CloudflareIsEvil #CloudflareBulletProofHosting #CloudflareIsCrimineel #Cloudflare #AmazonIsEvil #BigTechIsEvil #GoogleIsEvil #LetsEncryptIsEvil #GoogleTrustServices #GoogleTrustServicesIsEvil #LetsEncrypt

GOOGLE+CLOUDFLARE ARE EVIL / MALAFIDE ELEKTRICIENS

Gisteravond op TV bij Radar o.a. "Malafide elektriciens": https://radar.avrotros.nl/artikel/uitzending-radar-6-april-ticketprijzen-wk-voetbal-malafide-elektriciens-en-tatoeages-weglaseren-62538

Vanochtend: "Politie noemt oplichting door elektriciens via Google Ads 'georganiseerde misdaad’": https://www.security.nl/posting/931355/Politie+noemt+oplichting+door+elektriciens+via+Google+Ads+%27georganiseerde+misdaad%E2%80%99

Met een kort onderzoekje vond ik van één van de partijen die het niet zo nauw neemt met de regels voor eerlijk zakendoen, en schreef daarover in https://www.security.nl/posting/931363 - helaas is die reactie ondertussen verwijderd door een moderator. Een snapshot vindt u echter in https://archive.is/6HI4J (ik had een voorgevoel).

Hieronder vindt u een lijstje met betrokken domeinnamen (zie https://archive.is/6HI4J voor een meer uitgebreide toelichting).

In aanvulling daarop schreef ik later op security.nl (daar heb ik geen snapshot meer van kunnen maken op archive.is):
❝
Overigens is dit niet de enige partij die agressief in Google ads verschijnt.

Aanvulling: de voorpagina van https://elektricienvlaanderen.be wijkt af van de andere sites, maar bovenin (PDF) https://elektricienvlaanderen.be/wp-content/uploads/2022/02/algemene-voorwaarden-https___elektricienvlaanderen.be_.pdf staat:

"Algemene voorwaarden Versie 1.2
[...]
Louwmans Installatie Techniek B.V.
KVK: 84966378
BTW: NL863443515B01
[...]"
❞

#GoogleIsEvil #CloudflareIsEvil #BigTechIsEvil #InfoSec #Fraude #Oplichting #GeorganiseerdeMisdaad #Politie #ACM #Elektricien #MalafideElektriciens

@McHollander : ongetwijfeld. Als je de uitzending van Radar terugkijkt zie je dat een slachtoffer een elektricien heeft besteld en vervolgens een van de twee mannen, na het aanbellen, zegt "de loodgieter!".

Om even daarna te zeggen dat hij elektricien is, maar ook loodgieter (hij zegt nog net niet "alleskunner").

Iets vergelijkbaars geldt voor slotenmakers, ongediertebestrijders en alle problemen waar slachtoffers min of meer snel een oplossing voor zoeken.

Onderstaande site vond ik nét boven de elektriciens (in https://www.virustotal.com/gui/ip-address/188.122.70.221/relations). Deze pagina doet inderdaad denken aan die van de elektriciens die ik noemde.

Van de door de site zelf genoemde Google review score (4,8/5) en 1200+ reviews geloof ik niets, in https://nl.trustpilot.com/review/plumber.amsterdam zijn relatief veel negatieve reacties te zien - en op z'n minst een deel van de positieve reacties zal nep zijn (opvallend is het aantal beoordelingen met 2, 3 of 4 sterren: nul).

Overigens vond ik "plumber.amsterdam" niet tussen de gesponsorde Google zoekresultaten (waarvan er wel verschrikkelijk veel van zijn). Ook zit deze site NIET achter Cloudflare.

Druk op een plaatje om te vergroten.

#Oplichting #Loodgieters #MalafideLoodgieters #GoogleIsEvil