23 mei 2019
Phishingmailtjes in 2019. Hoe trap je er niet in?
Tegenwoordig is bijna iedereen wel bekend met de term ‘phishing’, een praktijk waarbij aanvallers contactgegevens of geld per e-mail proberen te ontfutselen door de ontvanger vervalste informatie voor te schotelen. Phishing is zeker geen nieuw fenomeen. Met het de beschikbaarheid van het internet voor de consument kwamen ook de eerste phishingmailtjes in omloop. Kenmerkend aan deze mailtjes was dat ze vaak onpersoonlijk waren, in gebrekkig Engels opgemaakt en verstuurd werden vanaf rare e-mailadressen. De laatste jaren worden ‘phishers’ echter steeds beter in het opstellen van geloofwaardige e-mails en e-mailadressen. Deze zijn bijna niet meer van echt te onderscheiden.
Soorten phishing
Phishing kan je in de basis terugbrengen tot twee vormen:
1. Gericht op de massa. Hierbij stuurt een ‘phisher’ enorm veel e-mails tegelijkertijd, waarbij hij/zij gebruik maakt van openbare en gelekte e-mailadressen. Deze mails worden vaak vermomd als e-mails van een bank of overheidsinstelling.
2. Gericht op een specifiek persoon. Wordt ook wel spearfishing genoemd. Hieronder valt bijvoorbeeld ook CEO-fraude, waarbij de ‘phisher’ een bekende of leidinggevende van de ontvanger nadoet en via deze weg om geld vraagt. Hiervoor doet de ‘phisher’ eerst onderzoek naar de structuur van een bedrijf en stuurt soms eerst een algemeen mailtje naar een bedrijf om bijvoorbeeld een e-mailhandtekening te kunnen kopiëren.
Bij beide vormen van phishing probeert de ‘phisher’ het e-mailadres waarmee de e-mail wordt verzonden zo legitiem mogelijk te laten overkomen. Soms gebeurt dat door een domeinnaam te registreren die veel overeenkomsten vertoont met een bedrijf, zoals ing.info of abnanro.nl. Soms gebeurt dat ook op basis van spoofing. Door een e-mail te spoofen lijkt het voor een ontvanger alsof de e-mail van een bekende afkomt, terwijl dat in werkelijkheid niet zo is.
Omdat phishing steeds moeilijker te herkennen is, hebben we de afgelopen maanden phishingmailtjes van klanten en van onszelf bewaard om als voorbeeld te dienen. We verzamelen hier de ‘leukste’, die bij goed lezen af en toe best op de lachspieren kunnen werken, maar ook heel bedreigend kunnen overkomen op de ontvanger ervan:
1. Twee opties
In dit mailtje wordt de ontvanger bang gemaakt met het naar buiten brengen van zijn internetgeschiedenis, die volgens de ‘phisher’ niet zo zuiver is ;). De verzender van de mail eist 900 euro van de ontvanger om beschamende informatie niet te delen met familie en vrienden. Dit is een duidelijk voorbeeld van een phishingmailtje dat is gericht op de massa. Hoewel het mailtje persoonlijk lijkt, staat er geen persoonsinformatie in.
Lees het mailtje Je kent me niet en je denkt waarschijnlijk waarom je deze mail krijgt? Laat me je vertellen, ik heb eigenlijk een malware opgezet op de X streaming website en er is meer, je hebt deze site bezocht om plezier te hebben (je begrijpt wat ik bedoel). Toen je videoclips aan het bekijken was, begon je browser te werken als een RDP met een key logger die me toegang gaf tot je display en cam. Vlak daarna verzamelde mijn softwareprogramma uw volledige contacten van uw Messenger, Facebook en e-mailaccount. Vervolgens heb ik een video met dubbel scherm gemaakt. 1e deel geeft de video weer die je aan het bekijken was (je hebt een aardige smaak haha …), en het tweede deel toont de opname van je webcam, ja ook jij. Je hebt eigenlijk maar twee opties. Zullen we elk van deze oplossingen in aspecten doorlezen: Het eerste alternatief is om dit bericht over te slaan. in deze situatie stuur ik je eigen opgenomen materiaal naar elk stukje van je persoonlijke contacten en kun je je ook gemakkelijk voorstellen wat de onhandigheid is die je ervaart. Om nog maar te zwijgen of je toevallig in een intieme relatie zit, hoe het zeker van invloed zal zijn? De tweede keuze is om mij 900 euro te betalen. We zullen het een donatie noemen. in dit scenario zal ik zeker je video-opname zo snel mogelijk verwijderen. Je kunt je leven voortzetten alsof dit nooit heeft plaatsgevonden en je zult nooit meer iets van me horen. U betaalt de betaling via Bitcoin (als u dit niet weet, zoek dan ‘hoe bitcoin te kopen’ in de Google-zoekmachine). als je nieuwsgierig bent naar de politie, kijk dan, dit e-mailbericht kan niet worden teruggevoerd naar mij. Ik heb voor mijn stappen gezorgd. ik probeer je gewoon niet zo te belasten, als ik de bitcoin niet ontvang, stuur ik zeker je video-opname naar al je contacten, inclusief naaste familieleden, collega’s en vele anderen. Dat gezegd hebbende, als ik betaald krijg, wis ik de video meteen. Als je bewijs wilt hebben, antwoord je Ja, dan stuur ik je video naar je 9 vrienden. Dit is het niet-onderhandelbare aanbod dus verspil alsjeblieft mijn persoonlijke tijd en die van jou niet door op dit bericht te reageren. In het volgende mailtje wordt de ontvanger opnieuw bang gemaakt met het lekken van de bestanden die op zijn computer staan. Dit mailtje is iets persoonlijker, omdat de verzender ook het mailadres van de ontvanger in het mailtje heeft gezet. Natuurlijk is ook dat geautomatiseerd, deze mail is dus ook een voorbeeld van massaphishing. In deze mail valt ook goed te zien dat de verzender van het mailtje gebrekking of geen Nederlands spreekt. Waarschijnlijk is deze met Google Translate vertaald. Maar hoe weet de ‘phisher’ dan dat je Nederlands bent? Nou simpel, je e-mail adres eindigt met .nl. Dat is ook de reden waarom je met een .com e-mailadres vaak Engelstalige phishingmails krijgt. Lees het mailtje Het is nutteloos om het wachtwoord te wijzigen, mijn malware onderschept het elke keer. Hoe het was: Daarna heb ik een volledige dump van je schijf gemaakt (ik heb al je adresboek, geschiedenis van het bekijken van sites, alle bestanden, telefoonnummers en adressen van al je contacten). Een maand geleden wilde ik je apparaat vergrendelen en om een klein bedrag vragen om te ontgrendelen. Ik wil zeggen – je bent een grote, grote pervert. Je hebt een ongebreidelde fantasie !!! Daarna kwam er een idee bij me op. Ik geloof sterk dat je deze foto’s niet wilt laten zien aan je familie, vrienden of collega’s. Ik accepteer alleen geld in Bitcoins. Je weet niet hoe je een Bitcoin-portemonnee moet aanvullen? Voor de betaling heb je iets meer dan twee dagen (precies 50 uur). Na betaling worden mijn virussen en vuile foto’s automatisch vernietigd. Ik wil dat je voorzichtig bent. Postscriptum Ik garandeer je dat ik je na betaling niet meer stoor, omdat je niet mijn enige slachtoffer bent. Onderstaand een phishingmailtje die waarschijnlijk iedereen wel eens heeft gehad. De afzender is vaak een willekeurige Nederlandse ‘bank’ die een factuur int, je een nieuwe bankpas wil sturen of op een andere manier wil dat je inlogt op je bankrekening. Wanneer je echter op de link om in te loggen drukt word je herleid naar een andere pagina waar de verzender van de mail je inloggegevens afvangt. Vervolgens zal die de gegevens gebruiken om je zoveel mogelijk geld afhandig te maken. Lees het mailtje U ontvangt dit automatisch bericht omdat uw huidige bankpas binnenkort wordt vervangen door een nieuwe bankpas. Deze kost € 44,95 en wordt automatisch in rekening gebracht. Doet u mee met ons recycleprogramma? Dan ontvangt u de nieuwe bankpas geheel kosteloos. Bankpas kosteloos vervangen Recycle uw huidige bankpas op tijd. Ontvangen wij uw bankpas niet binnen 3 werkdagen? Dan brengen wij € 44,95 in rekening. En uw nieuwe bankpas ontvangt u pas na 14 werkdagen. Met vriendelijke groet, Afdeling Klantenservice Opnieuw een oproep om een nieuwe bankpas aan te vragen, maar dan voor een andere bank en met een andere aanpak. De ‘phisher’ suggereert dat de pinpas van de ontvanger is geskimmed. Om een nieuwe bankpas aan te vragen moet de ontvanger bij de bank inloggen. De link verwijst echter naar een Russische domeinnaam. Lees het mailtje Wij hebben meldingen binnen ons systeem ontvangen dat uw pas mogelijk geskimmed is! Wat houd dit in? Dit betekent dat er een mogelijkheid is dat criminelen uw bankpas hebben gekopieerd. Wat kan ik nu doen? Wij vragen u om uw bankpas op te sturen zodat wij deze kunnen onderzoeken. Mijn pas opsturen <http://*******.ru/mijn/login.php Met vriendelijke groet, ING Heeft u een vraag? Bij vragen over de levering kunt u contact opnemen met de begunstigde. Deze massaphisher probeert op een andere manier zijn brood te verdienen. In de onderstaande mail wordt beweerd dat de ontvanger een boete niet heeft betaald. Net als bij veel phishingmailtjes wordt een idee van urgentie gewekt, zodat de ontvanger minder nadenkt over het ontvangen mailtje. Een overheidsinstelling zal je natuurlijk echter nooit vragen om een boete in Bitcoins te betalen. Lees het mailtje U heeft een beschikking en vervolgens twee aanmaningen ontvangen over het overtreden van een verkeersvoorschrift. Wij hebben u meerdere malen per brief verzocht om de betaling te voldoen. Het openstaande bedrag is tot heden niet op de rekening van het Centraal Justitieel Incassobureau (CJIB) bijgeschreven. U kunt persoonlijk bij het BKR inzage krijgen over de informatie die het BKR over u heeft ontvangen. Omschrijving: Overtreding overschrijding maximum snelheid op autosnelweg met 12 km/h Feitcode: V101C – Klik https://******.nl/nl/order op: online betalen om de factuur te voldoen, let op dat u de juiste bedrag: € 39,25 invult. Bent u het niet eens met de beschikking ? Dan kunt u na de betaling in hoger beroep gaan bij de officier van justitie van Parket Centrale Verwerking Openbaar Ministerie (Parket CVOM). Wij vertrouwen erop u hiermee voldoende te hebben geinformeerd Alvast hartelijk dank voor uw medewerking. Dit mailtje is misschien wel het meest interessant van de voorbeelden op deze pagina. Van onderstaande mails zijn meerdere varianten in omloop. Bij Computron zijn wij bekend met twee organisaties die onderstaande betaling daadwerkelijk hebben gedaan. Er is hier sprake van zogenaamde ‘CEO-fraude’. De verzender van deze mail heeft eerst vooronderzoek gedaan. Zo heeft hij achterhaald wie de directeur/bestuurder is en wie verantwoordelijk is voor de betalingen binnen het bedrijf of organisatie. Dat kan hij doen door bijvoorbeeld op de website van de organisatie te kijken en daar te achterhalen hoe de rollen zijn verdeeld, of door het simpelweg per mail te vragen. In het onderstaande geval heeft de ‘phisher’ achterhaald hoe de directeur altijd zijn mails afsloot (handtekening), wat de e-mail van de directeur was (die hij in onderstaand voorbeeld had gespoofed) en wie er verantwoordelijk was voor de betalingen (daar werd deze mail aan gericht). De verantwoordelijke voor de betalingen dacht dus met de directeur te maken te hebben. Vaak wordt pas weken na het voorval ontdekt dat het geld onterecht is overgemaakt. Lees het mailtje 1. Hoeveel is het saldo van onze bankrekening? Groet, vervolg na reactie Hoi *******, Ik heb je nodig om een betaling van 4525 EUR naar een ontvanger vandaag. Ik heb de bankinformatie, kun je de betaling nu doen? groet vervolg na reactie Dag ******, Maak een overdracht van 4525 EUR naar: Bank Naam: Raiffeisen-Volksbank E-mail mij met een kopie van het betalingsbewijs wanneer de betaling is gedaan. Groet, ****** 1. Let goed op het e-mailadres waarmee de mail verzonden wordt. Klopt deze wel volledig met de domeinnaam van een legitieme partij? 2. Kijk goed naar het gebruik van Nederlands in de e-mail. Komt het raar over of worden er veel spelfouten gemaakt? 3. Controleer de header van de e-mail. Heb je een mailtje ontvangen dat je niet vertrouwt? In de header staat de werkelijke afzender, ook als het mailadres is gespoofed. 4. Een bank of overheidsinstelling vraagt nooit om inloggegevens of bitcoinbetalingen. 5. Open niet zomaar bijlages of links van onvertrouwde afzenders. Heb je toch op een link geklikt? Als je verder nog niks hebt gedaan kan je deze wegklikken. Heb je een bijlage geopend? Waarschuw dan je IT-beheerder. 6. Vertrouw je het niet? Op de site van fraudehelpdesk.nl staat een database van de meeste phishingmails die in omloop zijn. Zoek de e-mail die jij hebt ontvangen hier op.
Hello,
BTC-adres:***************************2. De hackers erecode
Ik heb slecht nieuws voor je.
23/09/2018 – op deze dag heb ik je besturingssysteem gehackt en heb je volledige toegang tot je account *******@*******.nl
In de software van de router waarmee u die dag verbonden was, was er een kwetsbaarheid.
Ik heb deze router eerst gehackt en mijn schadelijke code erop geplaatst.
Toen u op internet kwam, was mijn trojan geïnstalleerd op het besturingssysteem van uw apparaat.
Maar ik heb gekeken naar de sites die u regelmatig bezoekt, en tot grote vreugde van uw favoriete bronnen.
Ik heb het over sites voor volwassenen.
Ik heb een screenshot gemaakt van de intieme website waar je plezier hebt (je weet waar het over gaat, toch?).
Daarna heb ik een screenshot gemaakt van je vreugden (met behulp van de camera van je apparaat) en alles samengevoegd.
Het bleek mooi, twijfel niet.
Ik denk dat $ 640 een heel klein bedrag is voor mijn stilte.
Trouwens, ik heb veel tijd aan je besteed!
Mijn BTC-portemonnee: **************************
Schrijf in elke zoekmachine “hoe geld naar btc wallet te sturen”.
Het is gemakkelijker dan geld naar een creditcard te sturen!
Maak je geen zorgen, de timer begint op het moment dat je deze brief opent. Ja, ja .. het is al begonnen!
Narratief: als ik het opgegeven bedrag niet van u ontvang, wordt uw apparaat geblokkeerd en ontvangen al uw contactpersonen foto’s met uw ‘vreugden’.
– Probeer mijn virus niet te vinden en te vernietigen! (Al uw gegevens zijn al geüpload naar een externe server)
– Probeer geen contact met me op te nemen (dit is niet haalbaar, ik heb je een e-mail gestuurd vanuit je account)
– Verschillende beveiligingsdiensten zullen u niet helpen; het formatteren van een schijf of het vernietigen van een apparaat zal ook niet helpen, omdat je gegevens al op een externe server staan.
Dit is een erecode voor een hacker.3. Nieuwe bankpas Rabobank
Geachte klant,
Klik op de link hieronder en volg de stappen op uw scherm. Na de aanvraag komt u op de laatste pagina waar ons Recycle postadres staat vermeld. Noteer dit postadres goed.
Vervang uw bankpas
Rabobank4. Verdachte situatie ING bankpas
Geachte klant,
Hiermee kunnen ze betalingen uitvoeren en uw rekening leeg plunderen.
U krijgt dan een nieuwe pas zodat u weer normaal gebruik kan maken van uw rekening.
Uw huidige bankpas hebben wij al voor u geblokkeerd!
Via de onderstaande pagina kunt u uw informatie invullen en vind u het opstuur adres.5. Verkeersboete betalen met bitcoins
Geachte bestuurder,
Wij zullen wij uw bank opdracht geven om beslag te leggen op uw rekening vanaf donderdag 04-02-2019 tot het volledige bedrag is voldaan. Dit houdt in dat u geen toegang meer heeft tot uw rekening en geld.
Datum: 2-01-2019
Toegestane snelheid: 100 km/h
Gemeten snelheid: 116 km/h
Gecorrigeerde snelheid: 112 km/h Opgelegde sanctie: € 37,00
Administratiekosten: € 2,25 Te betalen: € 39,25
– Klik vervolgens op kopen.
– Bij uw bitcoinsedres vult u: ******************************
– U kunt nu direct uw betaling doen via iDEAL. Kies hiertoe uw eigen bank.
– Zodra u het openstaande bedrag heeft betaald, ontvangt u een bevestiging e-mail. Niet betalen Wij zijn dan genoodzaakt beslag te leggen op uw rekening.6. Kort maar krachtig
Goedemorgen,
2. Kun je vandaag een internationale betaling verwerken?
****** ******
*******
IBAN nr: IBAN: DE13 **** ***** **** 0665 83
BIC/Swiftcode: ********
Bank adres: Marktplatz 23-24, 84577 Tüßling, Duitsland
Ontvanger naam: ** **** *****
Ontvanger Adres: ********, 84577 Tüßling, Duitsland
Referentie: ** Bedrijfsnaam **
Land: DuitslandHoe voorkom je dat jij of de organisatie waar je werkt slachtoffer wordt van phishing?
