Phishing attempt - maar hoe? - Privacy en beveiliging

woensdag 27 oktober 2021 13:02

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Dit stond vandaag te lezen op HLN.be:

Overheid waarschuwt voor nieuwe phishingmails die vanuit My e-Box lijken te komen
De FOD Beleid en Ondersteuning waarschuwt voor nieuwe phishingmails die vanuit My e-Box, de digitale brievenbus van de overheid, afkomstig lijken te zijn. De meeste recent gemelde gevallen betreffen een Nederlandstalige melding van My e-Box dat een nieuw aanslagbiljet van de FOD Financiën beschikbaar zou zijn.

Deze keer hebben de cybercriminelen het adres myebox.noreply@bosa.fgov.be gebruikt. "De recente phishing e-mails zijn bijzonder overtuigend en daarom des te gevaarlijker", aldus de FOD, die daarom iedereen oproept om extra voorzichtig te zijn bij het openen van linken in die berichten.

Verder onderstreept de overheidsdienst dat berichten vanuit My e-Box je altijd zullen aanspreken met je naam en niet met "Geachte Heer/Mevrouw" of "Geachte burger". My e-Box zal ook nooit vragen om bank- of gebruikersgegevens in te vullen, behalve die van je CSAM digitale sleutels. Wie twijfelt aan een mail, kan de toepassing ook openen via https://myebox.be en daar controleren of er effectief een nieuw bericht klaarstaat.

Wie een mail krijgt kan die rapporteren aan het Centrum voor Cybersecurity (CCB) door hem door te sturen naar verdacht@safeonweb.be.

Dat zette me aan het denken dat ik recent ook zo'n mail heb gehad, waarin stond dat een bericht klaarstond maar na inloggen bleek er niets klaar te staan. Ik ben 100% zeker naar de echte site doorgestuurd.

Ik snap echter niet wat er "phishing" aan is in dit geval, want het lijkt me nochtans dat alle links in dit bericht naar de (legitieme) bestemming gaan. Waar zit het addertje?

Ik heb alle links in het fake bericht nagekeken, en ze leiden allemaal naar de échte eBox, of althans een subdomain van .belgium.be

Waarom zou iemand een fake bericht sturen met echte links erin?

Echt bericht: (er stond echt een bericht klaar)

Afbeeldingslocatie: https://tweakers.net/i/asi8YacQf5qp8bj6VPt58SbJGcA=/800x/filters:strip_exif()/f/image/INIlmodgnr1x89Uj33uIoNJW.png?f=fotoalbum_large

Fake bericht: (er stond geen bericht klaar)

Afbeeldingslocatie: https://tweakers.net/i/H8sJSxZIZlgqZ3_IUkC4PvY642s=/800x/filters:strip_exif()/f/image/5pq07Xynpayu6J7mAdB3i1rf.png?f=fotoalbum_large

Headers van fake bericht:

Afbeeldingslocatie: https://tweakers.net/i/azmcccTIsWPeyDKlH7rVdsePv_E=/800x/filters:strip_exif()/f/image/ht5SPDjYVPlfn8tzJsUTLlsY.png?f=fotoalbum_large

woensdag 27 oktober 2021 13:11

Acties:

0 Henk 'm!

Anoniem: 316512

Misschien een foutje van de organisatie? Ik zie niet direct een link naar phishing of zo.

woensdag 27 oktober 2021 13:11

Acties:

0 Henk 'm!

Heroic_Nonsense

bartonsontheweb.nl

Hoe men uit naam van die site een mail kan sturen, is omdat je in de basis eenieder welke afzender kunt invullen in je mailpakket.

Dit wordt afgevangen door technieken als SPF en DKIM, waarbij je als ontvanger op DNS-niveau kunt controleren of de mailserver die is gebruikt ook gemachtigd is om uit naam van dat domein e-mails te sturen.

Dat het deze phisher is gelukt om een mail uit naam van de federale overheid te sturen, betekent dat a) de federale overheid geen SPF en DKIM heeft ingericht of b) dat jouw provider of mailserver dat niet controleert.

Ik acht het tweede waarschijnlijker dan het eerste.

Dan je tweede vraag: waarom zou iemand echte links gebruiken? Geen idee... wellicht een vergissing? Als in dat men de voorbeeldmails té goed heeft gekopieerd?

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl

woensdag 27 oktober 2021 20:21

Acties:

0 Henk 'm!

AriGold

Ik heb vandaag ook een zulke mail ontvangen. De mijne kwam van de Vlaamse overheid.
Er zou een bericht klaar staan, wat na inloggen via itsme ook effectief zo was.
Het bericht kwam trouwens ook via doccle binnen.

Verzendadres:
noreply@burgerprofiel.vlaanderen.be

Afbeeldingslocatie: https://tweakers.net/i/VfEX2jmzzaDfHxhWwL3Z5htlv1o=/x800/filters:strip_icc():strip_exif()/f/image/WdthxKZsK9PsKwjswuWiWyQr.jpg?f=fotoalbum_large

woensdag 27 oktober 2021 20:29

Acties:

0 Henk 'm!

peize9

Geen L die toevallig een i is? Zo heb ik ook nog wel eens wat mensen de verkeerde site op kunnen leiden.

Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying. ― Arthur C. Clarke

donderdag 28 oktober 2021 00:23

Acties:

+1 Henk 'm!

Bc014

Ben er ook ingelopen in die mail, alles was juist, adres en link, daarop geklikt en direct op csam inlogpagina overheid, met itsme ingelogd en direct op mijn echte ebox...het leek allemaal heel echt...nergens geen gegevens moeten invullen (geen banknummer, noch gebruikersnaam of paswoord.) Misschien malware op een of andere manier, maar zou vreemd zijn want geen bijlagen, slechts (ogenschijnlijk)onschuldige link naar ebox. Malware scan was ook negatief. Het enige wat ik kan bedenken dat ze een manier gevonden hebben om de itsme gegevens te stelen, maar wat zijn ze daar mee zonder de erbij horende gsm en fingerprint.

donderdag 28 oktober 2021 07:34

Acties:

0 Henk 'm!

IndigoX

Topicstarter

Bc014 schreef op donderdag 28 oktober 2021 @ 00:23:
. Het enige wat ik kan bedenken dat ze een manier gevonden hebben om de itsme gegevens te stelen, maar wat zijn ze daar mee zonder de erbij horende gsm en fingerprint.

Wat me zou verbazen want je zet echt op het .belgium.be domein.
En itsme zie je duidelijk dat je ondertekent bij de overheid.
Verwarrend...

dinsdag 2 november 2021 14:30

Acties:

0 Henk 'm!

IndigoX

Topicstarter

Ik denk dat ze het doorhebben... Was het een testje om te kijken welke mailboxes de mail zouden openen?

Daar zijn de échte phishing mails...

Afbeeldingslocatie: https://tweakers.net/i/Ett2srx8QhXYJxVf6GnymqnDXdg=/800x/filters:strip_exif()/f/image/HeOfRb42tT1G2kBryg4E3z7x.png?f=fotoalbum_large

dinsdag 2 november 2021 21:40

Acties:

0 Henk 'm!

Bc014

Ja inderdaad, heb ik ook ontvangen, zogezegd een herinnering!