23 mei 2019

Phishingmailtjes in 2019. Hoe trap je er niet in?

Tegenwoordig is bijna iedereen wel bekend met de term ‘phishing’, een praktijk waarbij aanvallers contactgegevens of geld per e-mail proberen te ontfutselen door de ontvanger vervalste informatie voor te schotelen. Phishing is zeker geen nieuw fenomeen. Met het de beschikbaarheid van het internet voor de consument kwamen ook de eerste phishingmailtjes in omloop. Kenmerkend aan deze mailtjes was dat ze vaak onpersoonlijk waren, in gebrekkig Engels opgemaakt en verstuurd werden vanaf rare e-mailadressen. De laatste jaren worden ‘phishers’ echter steeds beter in het opstellen van geloofwaardige e-mails en e-mailadressen. Deze zijn bijna niet meer van echt te onderscheiden.
 

Soorten phishing

Phishing kan je in de basis terugbrengen tot twee vormen:
 

1. Gericht op de massa. Hierbij stuurt een ‘phisher’ enorm veel e-mails tegelijkertijd, waarbij hij/zij gebruik maakt van openbare en gelekte e-mailadressen. Deze mails worden vaak vermomd als e-mails van een bank of overheidsinstelling.
2. Gericht op een specifiek persoon. Wordt ook wel spearfishing genoemd. Hieronder valt bijvoorbeeld ook CEO-fraude, waarbij de ‘phisher’ een bekende of leidinggevende van de ontvanger nadoet en via deze weg om geld vraagt. Hiervoor doet de ‘phisher’ eerst onderzoek naar de structuur van een bedrijf en stuurt soms eerst een algemeen mailtje naar een bedrijf om bijvoorbeeld een e-mailhandtekening te kunnen kopiëren.

 
Bij beide vormen van phishing probeert de ‘phisher’ het e-mailadres waarmee de e-mail wordt verzonden zo legitiem mogelijk te laten overkomen. Soms gebeurt dat door een domeinnaam te registreren die veel overeenkomsten vertoont met een bedrijf, zoals ing.info of abnanro.nl. Soms gebeurt dat ook op basis van spoofing. Door een e-mail te spoofen lijkt het voor een ontvanger alsof de e-mail van een bekende afkomt, terwijl dat in werkelijkheid niet zo is.
 
Omdat phishing steeds moeilijker te herkennen is, hebben we de afgelopen maanden phishingmailtjes van klanten en van onszelf bewaard om als voorbeeld te dienen. We verzamelen hier de ‘leukste’, die bij goed lezen af en toe best op de lachspieren kunnen werken, maar ook heel bedreigend kunnen overkomen op de ontvanger ervan:
 

1. Twee opties

In dit mailtje wordt de ontvanger bang gemaakt met het naar buiten brengen van zijn internetgeschiedenis, die volgens de ‘phisher’ niet zo zuiver is ;). De verzender van de mail eist 900 euro van de ontvanger om beschamende informatie niet te delen met familie en vrienden. Dit is een duidelijk voorbeeld van een phishingmailtje dat is gericht op de massa. Hoewel het mailtje persoonlijk lijkt, staat er geen persoonsinformatie in.

Lees het mailtje


Hello,

Je kent me niet en je denkt waarschijnlijk waarom je deze mail krijgt?

Laat me je vertellen, ik heb eigenlijk een malware opgezet op de X streaming website en er is meer, je hebt deze site bezocht om plezier te hebben (je begrijpt wat ik bedoel). Toen je videoclips aan het bekijken was, begon je browser te werken als een RDP met een key logger die me toegang gaf tot je display en cam. Vlak daarna verzamelde mijn softwareprogramma uw volledige contacten van uw Messenger, Facebook en e-mailaccount. Vervolgens heb ik een video met dubbel scherm gemaakt. 1e deel geeft de video weer die je aan het bekijken was (je hebt een aardige smaak haha …), en het tweede deel toont de opname van je webcam, ja ook jij.

Je hebt eigenlijk maar twee opties. Zullen we elk van deze oplossingen in aspecten doorlezen:

Het eerste alternatief is om dit bericht over te slaan. in deze situatie stuur ik je eigen opgenomen materiaal naar elk stukje van je persoonlijke contacten en kun je je ook gemakkelijk voorstellen wat de onhandigheid is die je ervaart. Om nog maar te zwijgen of je toevallig in een intieme relatie zit, hoe het zeker van invloed zal zijn?

De tweede keuze is om mij 900 euro te betalen. We zullen het een donatie noemen. in dit scenario zal ik zeker je video-opname zo snel mogelijk verwijderen. Je kunt je leven voortzetten alsof dit nooit heeft plaatsgevonden en je zult nooit meer iets van me horen.

U betaalt de betaling via Bitcoin (als u dit niet weet, zoek dan ‘hoe bitcoin te kopen’ in de Google-zoekmachine).
BTC-adres:***************************

als je nieuwsgierig bent naar de politie, kijk dan, dit e-mailbericht kan niet worden teruggevoerd naar mij. Ik heb voor mijn stappen gezorgd. ik probeer je gewoon niet zo te belasten, als ik de bitcoin niet ontvang, stuur ik zeker je video-opname naar al je contacten, inclusief naaste familieleden, collega’s en vele anderen. Dat gezegd hebbende, als ik betaald krijg, wis ik de video meteen. Als je bewijs wilt hebben, antwoord je Ja, dan stuur ik je video naar je 9 vrienden. Dit is het niet-onderhandelbare aanbod dus verspil alsjeblieft mijn persoonlijke tijd en die van jou niet door op dit bericht te reageren.


2. De hackers erecode

In het volgende mailtje wordt de ontvanger opnieuw bang gemaakt met het lekken van de bestanden die op zijn computer staan. Dit mailtje is iets persoonlijker, omdat de verzender ook het mailadres van de ontvanger in het mailtje heeft gezet. Natuurlijk is ook dat geautomatiseerd, deze mail is dus ook een voorbeeld van massaphishing. In deze mail valt ook goed te zien dat de verzender van het mailtje gebrekking of geen Nederlands spreekt. Waarschijnlijk is deze met Google Translate vertaald. Maar hoe weet de ‘phisher’ dan dat je Nederlands bent? Nou simpel, je e-mail adres eindigt met .nl. Dat is ook de reden waarom je met een .com e-mailadres vaak Engelstalige phishingmails krijgt.

Lees het mailtje


Ik heb slecht nieuws voor je.
23/09/2018 – op deze dag heb ik je besturingssysteem gehackt en heb je volledige toegang tot je account *******@*******.nl

Het is nutteloos om het wachtwoord te wijzigen, mijn malware onderschept het elke keer.

Hoe het was:
In de software van de router waarmee u die dag verbonden was, was er een kwetsbaarheid.
Ik heb deze router eerst gehackt en mijn schadelijke code erop geplaatst.
Toen u op internet kwam, was mijn trojan geïnstalleerd op het besturingssysteem van uw apparaat.

Daarna heb ik een volledige dump van je schijf gemaakt (ik heb al je adresboek, geschiedenis van het bekijken van sites, alle bestanden, telefoonnummers en adressen van al je contacten).

Een maand geleden wilde ik je apparaat vergrendelen en om een ​​klein bedrag vragen om te ontgrendelen.
Maar ik heb gekeken naar de sites die u regelmatig bezoekt, en tot grote vreugde van uw favoriete bronnen.
Ik heb het over sites voor volwassenen.

Ik wil zeggen – je bent een grote, grote pervert. Je hebt een ongebreidelde fantasie !!!

Daarna kwam er een idee bij me op.
Ik heb een screenshot gemaakt van de intieme website waar je plezier hebt (je weet waar het over gaat, toch?).
Daarna heb ik een screenshot gemaakt van je vreugden (met behulp van de camera van je apparaat) en alles samengevoegd.
Het bleek mooi, twijfel niet.

Ik geloof sterk dat je deze foto’s niet wilt laten zien aan je familie, vrienden of collega’s.
Ik denk dat $ 640 een heel klein bedrag is voor mijn stilte.
Trouwens, ik heb veel tijd aan je besteed!

Ik accepteer alleen geld in Bitcoins.
Mijn BTC-portemonnee: **************************

Je weet niet hoe je een Bitcoin-portemonnee moet aanvullen?
Schrijf in elke zoekmachine “hoe geld naar btc wallet te sturen”.
Het is gemakkelijker dan geld naar een creditcard te sturen!

Voor de betaling heb je iets meer dan twee dagen (precies 50 uur).
Maak je geen zorgen, de timer begint op het moment dat je deze brief opent. Ja, ja .. het is al begonnen!

Na betaling worden mijn virussen en vuile foto’s automatisch vernietigd.
Narratief: als ik het opgegeven bedrag niet van u ontvang, wordt uw apparaat geblokkeerd en ontvangen al uw contactpersonen foto’s met uw ‘vreugden’.

Ik wil dat je voorzichtig bent.
– Probeer mijn virus niet te vinden en te vernietigen! (Al uw gegevens zijn al geüpload naar een externe server)
– Probeer geen contact met me op te nemen (dit is niet haalbaar, ik heb je een e-mail gestuurd vanuit je account)
– Verschillende beveiligingsdiensten zullen u niet helpen; het formatteren van een schijf of het vernietigen van een apparaat zal ook niet helpen, omdat je gegevens al op een externe server staan.

Postscriptum Ik garandeer je dat ik je na betaling niet meer stoor, omdat je niet mijn enige slachtoffer bent.
Dit is een erecode voor een hacker.


3. Nieuwe bankpas Rabobank

Onderstaand een phishingmailtje die waarschijnlijk iedereen wel eens heeft gehad. De afzender is vaak een willekeurige Nederlandse ‘bank’ die een factuur int, je een nieuwe bankpas wil sturen of op een andere manier wil dat je inlogt op je bankrekening. Wanneer je echter op de link om in te loggen drukt word je herleid naar een andere pagina waar de verzender van de mail je inloggegevens afvangt. Vervolgens zal die de gegevens gebruiken om je zoveel mogelijk geld afhandig te maken.

Lees het mailtje


Geachte klant,

U ontvangt dit automatisch bericht omdat uw huidige bankpas binnenkort wordt vervangen door een nieuwe bankpas. Deze kost € 44,95 en wordt automatisch in rekening gebracht.

Doet u mee met ons recycleprogramma? Dan ontvangt u de nieuwe bankpas geheel kosteloos.

Bankpas kosteloos vervangen
Klik op de link hieronder en volg de stappen op uw scherm. Na de aanvraag komt u op de laatste pagina waar ons Recycle postadres staat vermeld. Noteer dit postadres goed.
Vervang uw bankpas

Recycle uw huidige bankpas op tijd. Ontvangen wij uw bankpas niet binnen 3 werkdagen? Dan brengen wij € 44,95 in rekening. En uw nieuwe bankpas ontvangt u pas na 14 werkdagen.

Met vriendelijke groet,

Afdeling Klantenservice
Rabobank


4. Verdachte situatie ING bankpas

Opnieuw een oproep om een nieuwe bankpas aan te vragen, maar dan voor een andere bank en met een andere aanpak. De ‘phisher’ suggereert dat de pinpas van de ontvanger is geskimmed. Om een nieuwe bankpas aan te vragen moet de ontvanger bij de bank inloggen. De link verwijst echter naar een Russische domeinnaam.

Lees het mailtje


Geachte klant,

Wij hebben meldingen binnen ons systeem ontvangen dat uw pas mogelijk geskimmed is!

Wat houd dit in?

Dit betekent dat er een mogelijkheid is dat criminelen uw bankpas hebben gekopieerd.
Hiermee kunnen ze betalingen uitvoeren en uw rekening leeg plunderen.

Wat kan ik nu doen?

Wij vragen u om uw bankpas op te sturen zodat wij deze kunnen onderzoeken.
U krijgt dan een nieuwe pas zodat u weer normaal gebruik kan maken van uw rekening.
Uw huidige bankpas hebben wij al voor u geblokkeerd!
Via de onderstaande pagina kunt u uw informatie invullen en vind u het opstuur adres.

Mijn pas opsturen <http://*******.ru/mijn/login.php

Met vriendelijke groet,

ING

Heeft u een vraag?

Bij vragen over de levering kunt u contact opnemen met de begunstigde.


5. Verkeersboete betalen met bitcoins

Deze massaphisher probeert op een andere manier zijn brood te verdienen. In de onderstaande mail wordt beweerd dat de ontvanger een boete niet heeft betaald. Net als bij veel phishingmailtjes wordt een idee van urgentie gewekt, zodat de ontvanger minder nadenkt over het ontvangen mailtje. Een overheidsinstelling zal je natuurlijk echter nooit vragen om een boete in Bitcoins te betalen.

Lees het mailtje


Geachte bestuurder,

U heeft een beschikking en vervolgens twee aanmaningen ontvangen over het overtreden van een verkeersvoorschrift. Wij hebben u meerdere malen per brief verzocht om de betaling te voldoen. Het openstaande bedrag is tot heden niet op de rekening van het Centraal Justitieel Incassobureau (CJIB) bijgeschreven. U kunt persoonlijk bij het BKR inzage krijgen over de informatie die het BKR over u heeft ontvangen.
Wij zullen wij uw bank opdracht geven om beslag te leggen op uw rekening vanaf donderdag 04-02-2019 tot het volledige bedrag is voldaan. Dit houdt in dat u geen toegang meer heeft tot uw rekening en geld.

Omschrijving:

Overtreding overschrijding maximum snelheid op autosnelweg met 12 km/h Feitcode: V101C
Datum: 2-01-2019
Toegestane snelheid: 100 km/h
Gemeten snelheid: 116 km/h
Gecorrigeerde snelheid: 112 km/h Opgelegde sanctie: € 37,00
Administratiekosten: € 2,25 Te betalen: € 39,25

– Klik https://******.nl/nl/order op: online betalen om de factuur te voldoen, let op dat u de juiste bedrag: € 39,25 invult.
– Klik vervolgens op kopen.
– Bij uw bitcoinsedres vult u: ******************************
– U kunt nu direct uw betaling doen via iDEAL. Kies hiertoe uw eigen bank.
– Zodra u het openstaande bedrag heeft betaald, ontvangt u een bevestiging e-mail. Niet betalen Wij zijn dan genoodzaakt beslag te leggen op uw rekening.

Bent u het niet eens met de beschikking ? Dan kunt u na de betaling in hoger beroep gaan bij de officier van justitie van Parket Centrale Verwerking Openbaar Ministerie (Parket CVOM). Wij vertrouwen erop u hiermee voldoende te hebben geinformeerd Alvast hartelijk dank voor uw medewerking.


6. Kort maar krachtig

Dit mailtje is misschien wel het meest interessant van de voorbeelden op deze pagina. Van onderstaande mails zijn meerdere varianten in omloop. Bij Computron zijn wij bekend met twee organisaties die onderstaande betaling daadwerkelijk hebben gedaan. Er is hier sprake van zogenaamde ‘CEO-fraude’. De verzender van deze mail heeft eerst vooronderzoek gedaan. Zo heeft hij achterhaald wie de directeur/bestuurder is en wie verantwoordelijk is voor de betalingen binnen het bedrijf of organisatie. Dat kan hij doen door bijvoorbeeld op de website van de organisatie te kijken en daar te achterhalen hoe de rollen zijn verdeeld, of door het simpelweg per mail te vragen. In het onderstaande geval heeft de ‘phisher’ achterhaald hoe de directeur altijd zijn mails afsloot (handtekening), wat de e-mail van de directeur was (die hij in onderstaand voorbeeld had gespoofed) en wie er verantwoordelijk was voor de betalingen (daar werd deze mail aan gericht). De verantwoordelijke voor de betalingen dacht dus met de directeur te maken te hebben. Vaak wordt pas weken na het voorval ontdekt dat het geld onterecht is overgemaakt.

Lees het mailtje


Goedemorgen,

1. Hoeveel is het saldo van onze bankrekening?
2. Kun je vandaag een internationale betaling verwerken?

Groet,
****** ******

vervolg na reactie

Hoi *******,

Ik heb je nodig om een betaling van 4525 EUR naar een ontvanger vandaag. Ik heb de bankinformatie, kun je de betaling nu doen?

groet
*******

vervolg na reactie

Dag ******,

Maak een overdracht van 4525 EUR naar:

Bank Naam: Raiffeisen-Volksbank
IBAN nr: IBAN: DE13 **** ***** **** 0665 83
BIC/Swiftcode: ********
Bank adres: Marktplatz 23-24, 84577 Tüßling, Duitsland
Ontvanger naam: ** **** *****
Ontvanger Adres: ********, 84577 Tüßling, Duitsland
Referentie: ** Bedrijfsnaam **
Land: Duitsland

E-mail mij met een kopie van het betalingsbewijs wanneer de betaling is gedaan.

Groet,

******


Hoe voorkom je dat jij of de organisatie waar je werkt slachtoffer wordt van phishing?

1. Let goed op het e-mailadres waarmee de mail verzonden wordt. Klopt deze wel volledig met de domeinnaam van een legitieme partij?

2. Kijk goed naar het gebruik van Nederlands in de e-mail. Komt het raar over of worden er veel spelfouten gemaakt?

3. Controleer de header van de e-mail. Heb je een mailtje ontvangen dat je niet vertrouwt? In de header staat de werkelijke afzender, ook als het mailadres is gespoofed.

4. Een bank of overheidsinstelling vraagt nooit om inloggegevens of bitcoinbetalingen.

5. Open niet zomaar bijlages of links van onvertrouwde afzenders. Heb je toch op een link geklikt? Als je verder nog niks hebt gedaan kan je deze wegklikken. Heb je een bijlage geopend? Waarschuw dan je IT-beheerder.

6. Vertrouw je het niet? Op de site van fraudehelpdesk.nl staat een database van de meeste phishingmails die in omloop zijn. Zoek de e-mail die jij hebt ontvangen hier op.