Toon posts:

Datalek dierentuin? (Apenheul) Of ticketcounter? of...?

Pagina: 1
Acties:

Vraag

dinsdag 1 maart 2022 11:46

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
Vanochtend kreeg ik een mail dat ik stante pede mijn gegevens ergens moet invoeren, omdat mijn pakket beschadigd is geraakt :+

Nu gebruik ik voor elke organisatie een ander mail-adres. Ik snap dat er dan nog steeds met combinaties gegoocheld kan worden tot je toevallig naamorganisatie@mijndomein.nl hebt, maar de opmaak is in dit geval: naamorganisatie@subdomein.domein.nl Lijkt mij vrij onwaarschijnlijk dat er dan geen sprake is van een datalek.

Ik meld het in ieder geval bij de Apenheul.

laat maar, het gaat om een bekend datalek, waar ze mij niet over hebben geïnformeerd destijds... nieuws: Datalek ticketverkoper dierentuinen en pretparken treft tot 1,8 miljo...

Verder viel me op dat er een .nl domein is gebruikt waar slachtoffers hun gegevens in kunnen voeren. Heeft het nog zin dit bij de SIDN te melden bijvoorbeeld?

[Voor 24% gewijzigd door cat_byte op 01-03-2022 11:53. Reden: Betreft een al bekend datalek]

Alle reacties

dinsdag 1 maart 2022 11:52

Acties:
  • +2Henk 'm!
  • michiel_
  • Registratie: Juli 2005
  • Niet online

michiel_

nieuws: Datalek ticketverkoper dierentuinen en pretparken treft tot 1,8 miljo...

Misschien is er gebruik gemaakt van dit lek? Als het goed is zou je dan al wel een mailtje gehad moet hebben.

dinsdag 1 maart 2022 11:54

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
Ha, terwijl je dat schrijft, kwam ik daar zelf al achter. Er ging inderdaad een lichtje branden toen ik ging uitzoeken wanneer ik de kaartjes besteld had..

Kan ik nog iets met het .nl domein dat wordt gebruikt door de oplichters? Ergens melden?
Ik moet een leesbril. Die phishing-etterbakken zijn lekker gewiekst met hun domeinnamen. Never mind 8)7

[Voor 18% gewijzigd door cat_byte op 01-03-2022 11:58. Reden: typo]

dinsdag 1 maart 2022 11:59

Acties:
  • 0Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Een datalek melden bij SIDN heeft sowieso weinig zin, die doet daar niets mee. De Autoriteit Persoonsgegevens (AP) doet dat wel, maar gezien het ook reeds breeduit in het nieuws is geweest, kun je ervan uit gaan dat de ticketverkoper je voor is geweest en het ook reeds gemeld heeft bij de AP, gezien bedrijven verplicht zijn om dat te melden binnen 24 uur na constatering van het datalek.

dinsdag 1 maart 2022 12:02

Acties:
  • 0Henk 'm!
  • Tazzios
  • Registratie: November 2001
  • Laatst online: 18:40

Tazzios

..

@CH4OS het gaat niet om het melden van het datalek bij de SIDN maar het melden van een phising page op, dat lijkt mijn nuttig om aan SIDN te melden.

dinsdag 1 maart 2022 12:03

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
Ja, datalek is destijds inderdaad gemeld. Ik stuur een mail naar PostNL, omdat het met hun naam/logo is verzonden. Dan kennen zij variant 5093B ook weer.

Misschien was ik niet duidelijk. het betreft toch geen .nl domain. Ik was een beetje kippig.

dinsdag 1 maart 2022 12:07

Acties:
  • +1Henk 'm!
  • Tazzios
  • Registratie: November 2001
  • Laatst online: 18:40

Tazzios

..

Hier kan het in ieder geval: https://safebrowsing.goog...wsing/report_phish/?hl=en

dinsdag 1 maart 2022 12:09

Acties:
  • +1Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Tazzios schreef op dinsdag 1 maart 2022 @ 12:02:
@CH4OS het gaat niet om het melden van het datalek bij de SIDN maar het melden van een phising page op, dat lijkt mijn nuttig om aan SIDN te melden.
Het beste is dan om abuse@[registrar.tld] te e-mailen of contact op te nemen met de support afdeling van de registrar. Een registrar is best enorm allergisch voor dergelijke zaken, met name als het om bijvoorbeeld banken gaat. Zo heb ik meermaals phising attempts gehad, waar de aanvaller mijn bank (toevallig) gebruikte. Toen ik ze contacteerde had ik vrij snel reactie en was het domein ook spontaan verdwenen. :+

Wie de registrar is verschilt per domein, op o.a.https://mxtoolbox.com/SuperTool.aspx heb je een whois beschikbaar waarmee deze gegevens te achterhalen zijn, inclusief het contact voor abuse meldingen.

[Voor 40% gewijzigd door CH4OS op 01-03-2022 12:13]

dinsdag 1 maart 2022 12:14

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
@Tazzios check, gedaan! Ik vraag me even af of bijv. Mozilla users hier ook wat aan hebben, maar Mozilla maakt gebruikt van de Google phishing meldingen.

@CH4OS het verwijst uiteindelijk naar een Duitse domeinnaam met -tig subomeinen en koppeltekens. abuse@denic.de is dan waar het heen mag?

edit: ik heb de whois check gedaan, maar die komt met heel weinig informatie terug...( bero-webspace.de ). Wel de nameservers van bero-host.de en daar kan ik wel terecht. Ik ga melding doen bij ze.

Dank allemaal voor het meedenken!

[Voor 23% gewijzigd door cat_byte op 01-03-2022 12:19]

dinsdag 1 maart 2022 12:18

Acties:
  • 0Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

De subdomeinen maakt niet heel veel uit. De whois kijkt alleen naar het hoofddomein. Die is geregistreerd bij een registrar. Ik weet niet of het ook abuse@denic.de is, maar in de Whois kun je dat vaak gewoon checken.\

Voor mijn .nl domein is TransIP de registrar, in de whois vind ik abuse@nl.team.blue als adres voor abuse. ;)

[Voor 22% gewijzigd door CH4OS op 01-03-2022 12:19]

dinsdag 1 maart 2022 12:19

Acties:
  • 0Henk 'm!
  • mcDavid
  • Registratie: April 2008
  • Laatst online: 21:54

mcDavid

je kunt abuse melden bij iedere registry in de redirect chain.

Je kunt ook de abuse adressen van de betreffende registrars opzoeken dmv een whois-lookup van de betreffende domeinnamen. Als het fatsoenlijke registrars zijn, zijn de domeinen vaak snel uit de lucht. Maar helaas zijn veel registrars niet zo "fatsoenlijk".

dinsdag 1 maart 2022 12:20

Acties:
  • 0Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

abuse@denic.de is inderdaad een goed adres..
Dan zorgen zij wel weer dat het bij de juiste partij terechtkomt...
CH4OS schreef op dinsdag 1 maart 2022 @ 12:18:
De subdomeinen maakt niet heel veel uit. De whois kijkt alleen naar het hoofddomein. Die is geregistreerd bij een registrar. Ik weet niet of het ook abuse@denic.de is, maar in de Whois kun je dat vaak gewoon checken.\

Voor mijn .nl domein is TransIP de registrar, in de whois vind ik abuse@nl.team.blue als adres voor abuse. ;)
Denic.de is tegenwoordig vreselijk op de privacy... en laat tegenwoordige nauwelijks meer zien dan de nameservers. Abuse loopt ook via hen...

[Voor 72% gewijzigd door Jester-NL op 01-03-2022 12:21]

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

dinsdag 1 maart 2022 12:29

Acties:
  • 0Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Denic.de geeft op hun website dat abuse naar abuse@comlaude.com kan, zie ook https://www.denic.de/webwhois/ onder het kopje 'Information for establishing contact', nadat je een whois hebt gedaan. |Maar mogelijk verschilt dat per domein, denic lijkt de Duitse SIDN te zijn.

[Voor 58% gewijzigd door CH4OS op 01-03-2022 12:32]

dinsdag 1 maart 2022 12:55

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
Precies dit is de wat er uit de whois komt. Bijzonder summier
code:
1
2
3
4
5

Domain: bero-webspace.de
Nserver: ns1.bero-host.de
Nserver: ns2.bero-host.de
Status: connect
Changed: 2018-09-01T13:29:33+02:00


Weet je wat ik niet snap? Die Bero Host lijkt een legitieme hosting partij, maar waarom is ook hun Whois dan zo summier? Zit er toch een luchtje aan, of zoek ik niet goed, of zijn ze gewoon slordig? Nope: er wordt voor .de-domeinen gewoon veel afgeschermd
Ik heb ze via de site in ieder geval gemeld wat er aan de hand is. De phishing site is erop gericht om je bankgegevens uit handen te laten geven.

@CH4OS die mail kan ik niet terugvinden. Als ik de whois op denic.de doe voor bero-webspace.de komt daar info@lumaserv.com uit als e-mailadres. Ook een bericht gestuurd.

Ik hoop maar dat niemand zo stom is om voor een beschadigd pakketje zijn bankrekening uit handen te geven

[Voor 4% gewijzigd door cat_byte op 01-03-2022 13:06]

dinsdag 1 maart 2022 12:56

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
Jester-NL schreef op dinsdag 1 maart 2022 @ 12:20:
abuse@denic.de is inderdaad een goed adres..
Dan zorgen zij wel weer dat het bij de juiste partij terechtkomt...


[...]

Denic.de is tegenwoordig vreselijk op de privacy... en laat tegenwoordige nauwelijks meer zien dan de nameservers. Abuse loopt ook via hen...
Oh kijk, dat verklaart een hoop ja... ik vond het al vreemd.

dinsdag 1 maart 2022 13:10

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
O, wie trouwens benieuwd is naar de phishing site, mag mij een berichtje sturen. Ik ga het niet hier openbaar plaatsen.

dinsdag 1 maart 2022 13:18

Acties:
  • +1Henk 'm!
  • Jester-NL
  • Registratie: Januari 2003
  • Niet online

Jester-NL

... pakt een botte bijl

@CH4OS Denis is inderdaad de Duitse registry (de SIDN van Duitsland, als je het zo wilt noemen).

Waar je vroeger (voor 2018) bij een whois-bevraging de meeste informatie van een domeinhouder wel in beeld kreeg, is dat met de GDPR behoorlijk veranderd. Privé-data mag niet meer zomaar gedeeld worden. Dat houdt in dat de meeste registries buiten Europa eigenlijk niets meer delen over hun Europeese klanten. Sommige registries geven aan via welke registrar de domeinnaam is geregistreerd. Anderen (zoals de SIDN) geven de ook naam en het gebruikte mailadres van de registrant (en eventueel de reseller). Denic heeft een tijdje terug besloten om eigenlijk alleen nog maar de DNS-servers te delen (dat kan alsnog helpen om een registrar of reseller te vinden, maar dat hoeft niet per se).

The sky above the port was the color of television, turned to a dead channel
me @ last.fm

dinsdag 1 maart 2022 13:25

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
Jester-NL schreef op dinsdag 1 maart 2022 @ 13:18:
@CH4OS Denis is inderdaad de Duitse registry (de SIDN van Duitsland, als je het zo wilt noemen).

Waar je vroeger (voor 2018) bij een whois-bevraging de meeste informatie van een domeinhouder wel in beeld kreeg, is dat met de GDPR behoorlijk veranderd. Privé-data mag niet meer zomaar gedeeld worden. Dat houdt in dat de meeste registries buiten Europa eigenlijk niets meer delen over hun Europeese klanten. Sommige registries geven aan via welke registrar de domeinnaam is geregistreerd. Anderen (zoals de SIDN) geven de ook naam en het gebruikte mailadres van de registrant (en eventueel de reseller). Denic heeft een tijdje terug besloten om eigenlijk alleen nog maar de DNS-servers te delen (dat kan alsnog helpen om een registrar of reseller te vinden, maar dat hoeft niet per se).
Ergens heel logisch en zeker voor particulieren heel fijn dat persoonlijke gegevens afgeschermd zijn. Ik vond dat voorheen écht niet prettig, ook al deed ik niets 'fouts'. Via een ingewikkelde constructie waarbij je dan dus tochniet écht de domeinnaamhouder was, kon je daar als brave burger omheen werken. Maar het schiet nu wel door als je niet eens meer een normal abuse-adres kunt vinden...

Nou goed, ik heb mijn plicht gedaan denk ik.

dinsdag 1 maart 2022 13:41

Acties:
  • 0Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

Jester-NL schreef op dinsdag 1 maart 2022 @ 13:18:
@CH4OS Denis is inderdaad de Duitse registry (de SIDN van Duitsland, als je het zo wilt noemen).

Waar je vroeger (voor 2018) bij een whois-bevraging de meeste informatie van een domeinhouder wel in beeld kreeg, is dat met de GDPR behoorlijk veranderd. Privé-data mag niet meer zomaar gedeeld worden. Dat houdt in dat de meeste registries buiten Europa eigenlijk niets meer delen over hun Europeese klanten. Sommige registries geven aan via welke registrar de domeinnaam is geregistreerd. Anderen (zoals de SIDN) geven de ook naam en het gebruikte mailadres van de registrant (en eventueel de reseller). Denic heeft een tijdje terug besloten om eigenlijk alleen nog maar de DNS-servers te delen (dat kan alsnog helpen om een registrar of reseller te vinden, maar dat hoeft niet per se).
Op zich hoef je voor het contact met de abuse afdeling ook geen (gevoelige) klant informatie te hebben, het domein, die je toch al weet, en het abuse contact is het enige. Je moet de registrar aanschrijven, niet het register zelf. Alleen de registrar kan het domein immers inactief maken om verdere schade te voorkomen.

[Voor 3% gewijzigd door CH4OS op 01-03-2022 13:44]

dinsdag 1 maart 2022 13:53

Acties:
  • 0Henk 'm!
  • CH4OS
  • Registratie: April 2002
  • Niet online

CH4OS

It's a kind of magic

cat_byte schreef op dinsdag 1 maart 2022 @ 12:55:
Precies dit is de wat er uit de whois komt. Bijzonder summier
code:
1
2
3
4
5

Domain: bero-webspace.de
Nserver: ns1.bero-host.de
Nserver: ns2.bero-host.de
Status: connect
Changed: 2018-09-01T13:29:33+02:00


Weet je wat ik niet snap? Die Bero Host lijkt een legitieme hosting partij, maar waarom is ook hun Whois dan zo summier? Zit er toch een luchtje aan, of zoek ik niet goed, of zijn ze gewoon slordig? Nope: er wordt voor .de-domeinen gewoon veel afgeschermd
Ik heb ze via de site in ieder geval gemeld wat er aan de hand is. De phishing site is erop gericht om je bankgegevens uit handen te laten geven.
Alle hosters zijn echt allergisch voor dit soort sites, dus ik verwacht dat het snel wel weg is, zeker als er meerdere meldingen erover binnen komen.
@CH4OS die mail kan ik niet terugvinden. Als ik de whois op denic.de doe voor bero-webspace.de komt daar info@lumaserv.com uit als e-mailadres. Ook een bericht gestuurd.
Ja, dat vermoedde ik al en daarom had ik mijn post aangepast. Denic.de kijkt naar wie de registrar is van het domein en geeft dan direct de abuse en technical contact voor het domein en daarvan alleen het mailadres. An sich is dat natuurlijk voor dit verzoek ruim voldoende.
Ik hoop maar dat niemand zo stom is om voor een beschadigd pakketje zijn bankrekening uit handen te geven
Dat deze praktijken blijven plaats vinden, geeft aan hoe lucratief dit soort ongein nog altijd is.

dinsdag 1 maart 2022 13:59

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
CH4OS schreef op dinsdag 1 maart 2022 @ 13:53:


[...]
Dat deze praktijken blijven plaats vinden, geeft aan hoe lucratief dit soort ongein nog altijd is.
Tja, als je je website hebt en hoster A sluit je toko, dan ga je gewoon door naar hoster B. Weinig moeite en er hoeft maar 1 persoon het niet door te hebben. Dweilen met de kraan open. Maar ja, niets doen is ook zo wat.

Van PostNL intussen een geautomatiseerd antwoord gehad. Heel begrijpelijk natuurlijk.

dinsdag 8 maart 2022 15:05

Acties:
  • 0Henk 'm!
  • cat_byte
  • Registratie: Augustus 2010
  • Niet online

cat_byte

Topicstarter
Update: van beide hostingpartijen heb ik geen antwoord meer gehad. Gedurende de 24 uur die volgden bleef de website ook gewoon online. De melding doen bij Google heeft wél het gewenste effect gehad, maar heeft dus meer dan een dag geduurd. Een beetje browser zal je dus niet meer bij de desbetreffende site laten komen.

dinsdag 8 maart 2022 15:09

Acties:
  • 0Henk 'm!
  • consolefreak
  • Registratie: November 2002
  • Laatst online: 22:34

consolefreak

Wat je ook kan doen is de email doorsturen naar valse-email@fraudedesk.nl. Ik zie dat je phishing@postnl.nl al gevonden had. Naast de browser pagina van google houd het een beetje op.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee