Poging tot phishing ? - Privacy en beveiliging

dinsdag 23 april 2013 11:28

Acties:

0 Henk 'm!

Define good enough.

Topicstarter

Hi all,

Een vraagje:

Gisteravond kreeg me vriendin een whatsapp van een ex-vriend om naar een URL te gaan, en daar op een dropbox page (nagebouwd ?) haar email en wachtwoord in te vullen om een foto te zien.
Echter, in de URL balk stond geen dropbox link, maar een IP adres naar een server van, vermoedelijk, desbetreffende persoon. Ik kon via Extern bureaublad de server benaderen via Gast, enkel niet inloggen. Server was gehost in Amsterdam met als provider UPC.
Ik heb screenshots, paginabron etc allemaal opgeslagen, net zoals het IP adres en de berichten.

De vraag is: Kan dit eigenlijk wel, dropbox zit toch in de cloud ? De gegevens gingen, volgens een collega die de pagina verder had onderzocht, naar de server ipv naar dropbox. Dan is het toch phishing ? Aangifte ?

Graag jullie advies. IP adres ga ik niet plaatsen, en de url kreeg ze via een tinyurl link. Ze heeft overigens geen gegevens achtergelaten...

De enige ekte...

dinsdag 23 april 2013 11:39

Acties:

0 Henk 'm!

Standeman

Prutser 1e klasse

Lijkt me dat dat het phising is ja.. Waarschijnlijk is iemand zijn machine gehacked en draait er nu een servertje die de scam site serveert om dropbox ww's te achterhalen.

Kijk even op whois.net wie dat IP adres geregistreerd heeft..

Ik zou een abuse melding naar UPC sturen, je ex vriend waarschuwen dat hij malware op zijn telefoon heeft staan en even kijken of je online aangifte kan doen.

[ Voor 21% gewijzigd door Standeman op 23-04-2013 11:41 ]

The ships hung in the sky in much the same way that bricks don’t.

dinsdag 23 april 2013 11:45

Acties:

0 Henk 'm!

Insehh

Define good enough.

Topicstarter

Misschien dat ik het in de post niet heel duidelijk heb neergezet, excuses.
Het was geen malware, hij was duidelijk aan het uitleggen in het nederlands dat hij een testwebsite had opgezet en beveiliging was aan het testen. Hij vroeg haar een username en wachtwoord in te vullen zodat ze de foto kon zien en hij kon zien of het werkte. Toen ze dat vervolgens weigerde, zei hij dat het kinderachtig was en dat ze alleen wou testen of het functioneerde.

Toen ik het opmerkte en ze tegen hem zei dat het geen zuivere koffie was, ging de website 5 minuten later offline, net zoals URL en server. Hij staat dus vermoedelijk gewoon bij hem thuis.

De enige ekte...

dinsdag 23 april 2013 11:47

Acties:

0 Henk 'm!

Insehh

Define good enough.

Topicstarter

[Querying whois.arin.net]
[Redirected to whois.ripe.net:43]
[Querying whois.ripe.net]
[whois.ripe.net]
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '77.248.0.0 - 77.251.255.255'

% Abuse contact for '77.248.0.0 - 77.251.255.255' is 'abuse@upc.nl'

inetnum: 77.248.0.0 - 77.251.255.255
org: ORG-CB6-RIPE
admin-c: LGI-RIPE
netname: NL-CHELLO-20070126
descr: UPC Broadband Operations B.V.
country: NL
tech-c: LGI-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: MNT-LGI
mnt-routes: AS6830-MNT
source: RIPE # Filtered

organisation: ORG-CB6-RIPE
org-name: UPC Broadband Operations B.V.
org-type: LIR
address: UPC Broadband Operations B.V.
address: Boeing Avenue 101
address: 1119PE
address: Schiphol Rijk
address: NETHERLANDS
phone: +31 20 7788200
fax-no: +31 20 7788203
admin-c: JK8125-RIPE
admin-c: SB666-RIPE
admin-c: HMCB1-RIPE
admin-c: MS2509-RIPE
mnt-ref: CHELLO-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
abuse-c: UNA7-RIPE
source: RIPE # Filtered

role: Hostmaster Liberty Global
address: Liberty Global Europe
address: Boeing Avenue 53
address: 1119 PE Schiphol Rijk
address: Netherlands
phone: +31 20 7788200
fax-no: +31 20 7788203
admin-c: SB666-RIPE
admin-c: SVS4-RIPE
tech-c: SB666-RIPE
tech-c: SVS4-RIPE
nic-hdl: LGI-RIPE
mnt-by: MNT-LGI
source: RIPE # Filtered

% Information related to '77.250.0.0/15AS6830'

route: 77.250.0.0/15
descr: UPC NL
origin: AS6830
mnt-by: AS6830-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.60.2 (WHOIS1)

De enige ekte...

dinsdag 23 april 2013 11:49

Acties:

0 Henk 'm!

Danot

Je kunt het beste, zoals Standeman al zei, een abuse melding naar UPC sturen. De providers gaan hier meestal serieus mee om als je een uitgebreide beschrijving van het voorval er bij zet.
Als die ex-vriend dan een mailtje krijgt van UPC, dan bedenkt hij zich wel voor hij het bij zijn volgende ex-vriendin die hij stalked uitprobeerd.

dinsdag 23 april 2013 11:50

Acties:

0 Henk 'm!

Insehh

Define good enough.

Topicstarter

Dan ga ik eens even een mailtje sturen, ben benieuwd naar de reactie.

De enige ekte...

dinsdag 23 april 2013 12:03

Acties:

0 Henk 'm!

soulrider

het is minstens een poging tot social engineering, niet zo zeer fishing.

Als ie echts zoiets zou testen dient hij zelf die gebruikersnaam en wachtwoord aan te leveren waarmee je kunt inloggen.

ps: je kan altijd als 'test' het mailadres "heb_je@niet.nodig" en wachtwoord "NiceTryF***" opgeven en dan wachten op zijn reactie

en als je vriendin meer last krijgt van zulke zielige pogingen van die kerel, dan zou ik ze aanraden er verdere stappen tegen te ondernemen zoals cyberstalkig/-pesting tot ev. (poging tot) inbreken op haar online accounts.

[ Voor 25% gewijzigd door soulrider op 23-04-2013 12:04 ]

dinsdag 23 april 2013 12:08

Acties:

0 Henk 'm!

Insehh

Define good enough.

Topicstarter

Dat laatste zeer zeker.

Kan het uberhaupt om een dropbox pagina na te bouwen om zo de gegevens te krijgen ? Ik meende dat je enkel gegevens achterlaat als het domein ook echt dropbox.com is (of gerelateerd) aangezien het cloudsoftware is en de registratiepagina dus zeker niet gehost hoeft te worden op een particuliere server...?

De enige ekte...

dinsdag 23 april 2013 12:43

Acties:

0 Henk 'm!

soulrider

hoe komt het dat bank-phishing werkt?
en hoe werken zij dan?

omdat het geen https is die je nabouwd, mensen daar niet opletten
als hij een asp/php pagina heeft gemaakt met hetzelfde uitzicht die niets anders doet dan ingetypte data registreren en een foutmelding geven dat het niet werkt waardoor ze het nog eens ingeeft en hij zeker is dat ze het juiste ingeeft ... meer heeft en hoeft die wellicht niet te doen.
(waardoor hij eigenlijk ook nog een het copyright van dropbox overtreedde)

mensen vertrouwen vaak te hard op hun ogen: de site ziet er hetzelfde uit dus ...

dinsdag 23 april 2013 14:44

Acties:

0 Henk 'm!

Thralas

Insehh schreef op dinsdag 23 april 2013 @ 12:08:
Dat laatste zeer zeker.

Kan het uberhaupt om een dropbox pagina na te bouwen om zo de gegevens te krijgen ? Ik meende dat je enkel gegevens achterlaat als het domein ook echt dropbox.com is (of gerelateerd) aangezien het cloudsoftware is en de registratiepagina dus zeker niet gehost hoeft te worden op een particuliere server...?

Als jij gegevens invult in een formulier op een website dan bepaalt de achterliggende server (zie adresbalk) wat er met die gegevens gebeurt.

Wanneer de desbetreffende pagina, gehost op een UPC-IP, claimt Dropbox te zijn en je vraagt om je Dropbox-username en password dan heet dat inderdaad phishing, en bepaalt de 'eigenaar' van het UPC-IP wat er met de ingevulde gegevens gebeurt. De eigenaar zou de username/password bijvoorbeeld kunnen gebruiken om in te loggen op je Dropbox. Het 'cloud'-principe heeft hier verder weinig mee van doen..

tl;dr als de ex van je vriendin probeert haar Dropboxcredentials te bemachtigen dmv. een phishingpage zou ik aangifte doen van computervredebreuk. Enkel contact opnemen met UPC heeft namelijk geen jurdische consequenties (of uberhaupt geen consequenties, zij vermoeden vast dat de abonnee de pagina onbewust hostte)

dinsdag 23 april 2013 16:00

Acties:

0 Henk 'm!

Insehh

Define good enough.

Topicstarter

Thralas schreef op dinsdag 23 april 2013 @ 14:44:
[...]

Als jij gegevens invult in een formulier op een website dan bepaalt de achterliggende server (zie adresbalk) wat er met die gegevens gebeurt.

Wanneer de desbetreffende pagina, gehost op een UPC-IP, claimt Dropbox te zijn en je vraagt om je Dropbox-username en password dan heet dat inderdaad phishing, en bepaalt de 'eigenaar' van het UPC-IP wat er met de ingevulde gegevens gebeurt. De eigenaar zou de username/password bijvoorbeeld kunnen gebruiken om in te loggen op je Dropbox. Het 'cloud'-principe heeft hier verder weinig mee van doen..

Wat ik met het cloud principe bedoelde, is dat dropbox registratie normaal niet gegevens wegschrijft op een servertje met een UPC IP. Cloud heeft er verder inderdaad weinig mee te maken.

Thralas schreef op dinsdag 23 april 2013 @ 14:44:
tl;dr als de ex van je vriendin probeert haar Dropboxcredentials te bemachtigen dmv. een phishingpage zou ik aangifte doen van computervredebreuk. Enkel contact opnemen met UPC heeft namelijk geen jurdische consequenties (of uberhaupt geen consequenties, zij vermoeden vast dat de abonnee de pagina onbewust hostte)

Onbewust was het zeker niet, hij maakte zelf een tinyurl link naar zijn IP adres en legde zelf tegen haar uit wat ze moest doen. Ze weigerde, hij reageerde kwaad. 5 minuten later: tinyurl link niet meer werkende, 5 minuten dáárna de server offline. Dat noem ik niet onbewust, en heb bewijsmateriaal daarvoor.

De enige ekte...

dinsdag 23 april 2013 16:08

Acties:

0 Henk 'm!

Anoniem: 63975

Dit is een poging tot het achterhalen van het wachtwood van een e-mail adres.

Jammer dat je die ex-vriend heb geinformeerd dat er iets niet in de haak was, ik zou die vriendin het advies gegeven hebben aangifte te doen. (waarna je d'r achter komt dat de politie hier geen prio aan geeft)

Het blijft gissen wat die ex-vriend van plan was met de gegevens.

dinsdag 23 april 2013 16:10

Acties:

0 Henk 'm!

Insehh

Define good enough.

Topicstarter

Ben ook bang dat er met de aangifte weinig tot niets gebeurd...

De enige ekte...

Pagina: 1

Reageer