Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Phishing?

Pagina: 1
Acties:
  • 554 views sinds 30-01-2008
  • Reageer

donderdag 14 juli 2005 20:45

Acties:

Verwijderd

Topicstarter
Beste tweakers,

Een van onze klanten klaagt dat hij vanaf gisteren ineens vele van deze e-mailtjes krijgt:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

Van: Systeembeheerder
Verzonden: donderdag 14 juli 2005 11:58
Aan: smith@domeinvanonzeklant.nl
Onderwerp: Onbezorgbaar: Your password has been successfully updated

Uw bericht heeft enkele of alle geadresseerden niet bereikt.

      Onderwerp:        Your password has been successfully updated

      Verzonden:        14-7-2005 11:57

De volgende geadresseerde(n) zijn niet bereikt:

      smith@domeinvanonzeklant.nl op 14-7-2005 11:57

            De organisatie waarnaar dit bericht is verzonden, heeft aangegeven dat de e-mailaccount niet bestaat. Controleer het e-mailadres of neem rechtstreeks contact op met de geadresseerde om na te gaan hoe het e-mailadres luidt.

            < psmtp01.wxs.nl #5.1.1>


Bij "De volgende geadresseerde(n)" staat steeds een andere naam. Ik dacht meteen aan een Phishing e-mail, verzonden van een of andere idioot die graag wil dat onze klant op een linkje klikt of een scriptje start, etc.

Ik vind het alleen eerg raar dat de afzender de systeembeheerder blijkt te zijn, wat aanduid dat de e-mail volgens mij van binnen het domein is verzonden. Er draait McAffee Antivirus op de server en alle clients, deze is volledig bijgewerkt. De server is SBS2003 en de clients draaien Outlook 2003. De server krijgt e-mail aangeleverd door PopBeamer (uit POP e-mail boxen).

Als jullie deze e-mail zo zien, lijkt het dan alsof onze klant toch is geinfecteerd en als een idioot allerlei e-mail aan het spammen is of is het gewoon een toevallige phishing attack op deze klant?

donderdag 14 juli 2005 20:57

Acties:
  • FireWood
  • Registratie: Augustus 2003
  • Laatst online: 30-11 23:30

FireWood

Staat er misschien wat vreemd in de hele header van de mail?

Misschien dat je die hier even kan posten?

Noobs don't use "F1", Pro's do, but they can't find the information they needed

donderdag 14 juli 2005 21:09

Acties:

Verwijderd

Topicstarter
Hmmm..., helaas heeft de klant alleen 4 mailtjes doorgestuurd, niet als attachment. Ik moet er morgen heen dus wil mij voorbereiden :). Wel zijn de onderwerpen en de personen steeds anders, bijvoorbeeld "Your Account is Suspended For Security Reasons" en "Warning Message: Your services near to be closed.". Allemaal van "Systeembeheerder".

Erg vreemd dus allemaal, ook omdat "Systeembeheerder" in het nederlands staat en de overige inhoud van de e-mail allemaal engelstalig is. Ik hoop niet dat hun server als spam server staat te functioneren. Iemand anders nog tips hoe ik dat kan checken / stoppen?

donderdag 14 juli 2005 21:14

Acties:
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Zonder headers is het lastig. Maar inderdaad is dat een optie. Of dat er iemand besmet is met een virus en met toevallig dat adres rondmailt. Afhankelijk van de headers dus :P

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 14 juli 2005 21:14

Acties:
  • mindcrash
  • Registratie: April 2002
  • Laatst online: 22-11-2019

mindcrash

Rebellious Monkey

Exchange converteerd automatisch SMTP adressen, zoals administrator@jouwdomein.tld, naar MAPI adressen op het domein (in jouw geval dus Systeembeheerder). Het kan dus best zo zijn dat dit bericht via SMTP jouw domein is binnengekomen en dat een of andere phisher/worm als afzender administrator@jouwdomein.tld heeft gebruikt in de phishing/infectie run (en daarnaast dus random user adressen in het TO: veld en de RCPT TO: header heeft ingevuld).

Als die SBS setup trouwens Nederlands is lijkt het me ook trouwens vrij normaal dat er Systeembeheerder staat i.p.v. Administrator vanwege internationalization...als het tenminste een Nederlandstalige SBS server is. Dan is Administrator ineens Systeembeheerder.

[ Voor 75% gewijzigd door mindcrash op 14-07-2005 21:26 ]

"The people who are crazy enough to think they could change the world, are the ones who do." -- Steve Jobs (1955-2011) , Aaron Swartz (1986-2013)

donderdag 14 juli 2005 21:14

Acties:
  • rvanlooijen
  • Registratie: Oktober 2001
  • Laatst online: 21-06-2021

rvanlooijen

Don't worry (of juist wel), dit is "gewoon" just-another wormpje; nml MyTob...

Heb er zelf ook al een complete invase van gehad, het gebruikt idd een fake afzender adres binnen het domein van de geaddresseerde. Goed, het spul wordt iig opgepikt door elke zichzelf respecterende antivirus, dus als 't goed is zouden die mailtjes je server niet eens langs moeten komen ;)

donderdag 14 juli 2005 21:21

Acties:
  • mrFoce
  • Registratie: Augustus 2004
  • Laatst online: 23-11 18:22

mrFoce

Dit is inderdaad gewoon een 'wormpje' die het email adres ergens vandaan heeft 'gespiderd' (of iemand die hem\haar in zijn contact lijst heeft/had in bv outlook was ooit geinfecteerd) en is waarschijnlijk in staat om 'emails' te scannen en woorden hiervan op te nemen..

Laatst was er bijvoorbeeld een 'worm' die mailtjes verstuurden in tig talen
Zulke mailtjes moet je gewoon verwijderen (blacklisten) en geen aandacht geven. :)

donderdag 14 juli 2005 22:39

Acties:

Verwijderd

Topicstarter
Tnx allemaal, dit klinkt heel geruststellend. Maar toch wel raar dat het ineens zo erg raak is (helemaal vervelend dat het net 1 dag gebeurd nadat wij hier beheer hebben uitgevoerd :().

[ Voor 61% gewijzigd door Verwijderd op 14-07-2005 22:40 ]

donderdag 14 juli 2005 22:44

Acties:
  • JoetjeF
  • Registratie: Juni 2003
  • Laatst online: 10-11-2012

JoetjeF

Mo Chuisneoir

Zie (oa) hier voor meer informatie over de worm. Lijkt wel of het vooral in Nederland voorkomt. Ben het tenminste nog niet in een ander land tegengekomen, alleen op onze Nederlandse vestigingen.

[ Voor 37% gewijzigd door JoetjeF op 14-07-2005 22:45 ]

vrijdag 15 juli 2005 07:34

Acties:

Verwijderd

Topicstarter
JoetjeF schreef op donderdag 14 juli 2005 @ 22:44:
Zie (oa) hier voor meer informatie over de worm. Lijkt wel of het vooral in Nederland voorkomt. Ben het tenminste nog niet in een ander land tegengekomen, alleen op onze Nederlandse vestigingen.
?? Dan zijn ze dus wel geinfecteerd. Wel vreemd dat McAffee dan ook nog helemaal niets ziet. We gaan in elk geval kijken of die gegevens uit de URL overeenkomen met die op de werkstations. Tnx!

vrijdag 15 juli 2005 16:25

Acties:
  • frickY
  • Registratie: Juli 2001
  • Laatst online: 13:11

frickY

Ik krijg deze mailtjes ook al enige tijd binnen op mn chello-emailadres.
Is gewoon een spam/phising run met een gespoofde afzender..


Ik krijg deze dus uit naam van support@chello.nl Staat een blaat-verhaal in dat mn wachtwoord op mijn verzoek is aangepast, en een verwijzing naar de attachment welke ik maar even moet lezen. De attachment bevat het Generic Malware.a!zip-virus.
Blijkbaar is een dergelijke mail 'ondeliverable' gebleeken, en komt hij dus uit bij de domein-beheerder/postmaster.

[ Voor 59% gewijzigd door frickY op 17-07-2005 11:28 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq