Phishing / malware link, mening?

Vraag

vrijdag 19 januari 2024 08:13

Acties:

0 Henk 'm!

Topicstarter

Mijn vraag
Ik ben zo dom geweest op een phisinglink in een mail te klikken, stom stom. Zag er heel echt uit allemaal natuurlijk...
Wat er gebeurde:
- ik klik op de unsubscribe link
- firefox opent. Er staat alleen met vrij grote letters een melding dat de website is geblokkeerd omdat deze malafide is. Wat er precies stond weet ik niet meer, want ik schrok me natuurlijk een hoedje en heb het venster direct gesloten.
- ik heb daarna de virusscanner gedraaid (acronis home office) en geeft geen bijzonderheden.
- als ik in mijn browsergeschiedenis kijk zie ik de naam van de malafide site met |blocked client.
- als ik de muis op de link van de mail zet zonder te klikken zie ik inderdaad een link die niet deugt.

Arg, ik zit er toch mee in mijn maag.
Heeft de Acronis / firefox / de router de site correct geblokkeerd en is er niks aan de hand..?
Of zou het toch kunnen dat er malware is gedownload....
Graag jullie mening en dank...!

Relevante software en hardware die ik gebruik
Windows 10 en op de achtergrond draait acronis cyber protect home office

Wat ik al gevonden of geprobeerd heb
...

Alle reacties

vrijdag 19 januari 2024 08:16

Acties:

+3 Henk 'm!

ResuCigam

BOFH

Het lijkt er op dat Firefox op tijd ingegrepen heeft. Je zou nog een scan met Malwarebytes kunnen doen voor de zekerheid.

We do what we must because we can.

vrijdag 19 januari 2024 10:38

Acties:

0 Henk 'm!

Sokmetknopen

Topicstarter

Dank je voor deze snelle reactie! Dat is een geruststellende gedachte....

vrijdag 19 januari 2024 19:08

Acties:

+1 Henk 'm!

Anoniem: 1576590

Tip voor als je iets geks ziet: maak altijd een screenshot en bewaar die!

Als je rechtsbovenaan https://testsafebrowsing.appspot.com/ op de link naar een gesimuleerde phishingpagina klikt, en Google Safe Browsing niet hebt uitgezet in Firefox, krijg je een rode pagina te zien met waarschuwingstekst. Als dit is wat je zag, is er niks gebeurd (zoals @ResuCigam terecht opmerkte).

Er is dan geen verbinding gemaakt met die site (te zien aan de schuine streep door het hangslotje).

Ik heb die pagina bekeken in twee browsers waarin Google Safe Browsing uit staat, en zag niks gevaarlijks. Het lijkt dus echt om een simulatie te gaan.

Als je dat toch eng vindt: link naar een PNG plaatje met screenshot (van een smartphone) van zo'n melding (Engelstalig in dit geval).

vrijdag 19 januari 2024 19:56

Acties:

0 Henk 'm!

Sokmetknopen

Topicstarter

Dank voor je reactie, de pagina was niet rood, maar wit met zwarte letters…zou dat ook kunnen? Misschien door acronis of de router (tp-link, daarop draait Trend-micro antivirus, met schadelijk inhoudfilter (blokkeert schadelijke websites))

[ Voor 37% gewijzigd door Sokmetknopen op 19-01-2024 20:06 ]

vrijdag 19 januari 2024 20:32

Acties:

0 Henk 'm!

laurens0619

Als je browser up to date zijn dan is de kans klein dat je iets oploopt door slechts url te openen. Dan is vaak nog een download of actie approven nodig

[ Voor 6% gewijzigd door laurens0619 op 19-01-2024 20:33 ]

CISSP! Drop your encryption keys!

vrijdag 19 januari 2024 20:47

Acties:

0 Henk 'm!

Anoniem: 1576590

Sokmetknopen schreef op vrijdag 19 januari 2024 @ 19:56:
Dank voor je reactie, de pagina was niet rood, maar wit met zwarte letters…zou dat ook kunnen?

Dat klopt niet. Voor de duidelijkheid, je moet rechtsboven in de pagina die ik noemde "link" klikken.

Een directe link naar de (niet echte) phishing-pagina is https://testsafebrowsing.appspot.com/s/phishing.html.

Als je daarop klikt zou je ongeveer hetzelfde moeten zien als in de link naar het PNG plaatje dat ik gaf. Heb je dat plaatje bekeken en was dat ongeveer wat je eerder vandaag zag?

Misschien door acronis of de router (tp-link, daarop draait Trend-micro antivirus, met schadelijk inhoudfilter (blokkeert schadelijke websites))

Dat heb ik allemaal niet draaien, maar als je op een https link klikt kan, normaal gesproken, niks "onderweg" (tussen jouw browser en de bedoelde webserver) tekst terugsturen: dat kan alleen de aangegeven website, met als enige alternatief een certificaatfoutmelding vanuit jouw browser.

(Hier bestaat één uitzondering op, nl. dat iets onderweg, bijv. Trend Micro op jouw router, TLS-verbindingen "openbreekt", maar dat kan alleen zonder certificaatfoutmeldingen als je een extra rootcertificaat in jouw browser en/of OS hebt geïnstalleerd).

vrijdag 19 januari 2024 20:48

Acties:

+1 Henk 'm!

FooLsKi

Prutz0r 4 Life

Sokmetknopen schreef op vrijdag 19 januari 2024 @ 19:56:
Dank voor je reactie, de pagina was niet rood, maar wit met zwarte letters…zou dat ook kunnen? Misschien door acronis of de router (tp-link, daarop draait Trend-micro antivirus, met schadelijk inhoudfilter (blokkeert schadelijke websites))

Het kan natuurlijk ook een manier zijn om te zien of jouw mailadres in gebruik is. Spammer stuurt bericht naar tigduizend mailadressen, als er iemand op de unsubscribe-link klikt dan is dat mailadres in gebruik (en kun je er dus meer spam of erger naar sturen). Lijkt iig geblokkeerd te zijn door je browser of achterliggende security. Is het ook een scherm zoals je verwachtte van jouw maatregelen?

Hoezo, ik zit je raar aan te kijken? Zo kijk ik altijd! Slijpen is niet nodig, ik prefereer de botte bijl.

vrijdag 19 januari 2024 20:55

Acties:

0 Henk 'm!

Anoniem: 1576590

laurens0619 schreef op vrijdag 19 januari 2024 @ 20:32:
Als je browser up to date zijn dan is de kans klein dat je iets oploopt door slechts url te openen. Dan is vaak nog een download of actie approven nodig

Klopt, maar mensen kunnen flink schrikken bij het zien van wat bijv. in deze animated GIF getoond wordt (volledige artikel).

vrijdag 19 januari 2024 20:57

Acties:

0 Henk 'm!

laurens0619

Anoniem: 1576590 schreef op vrijdag 19 januari 2024 @ 20:55:
[...]

Klopt, maar mensen kunnen flink schrikken bij het zien van wat bijv. in deze animated GIF getoond wordt (volledige artikel).

Schrikken wel ja, nasty sites

Maar voor t: leek het mij wel te relevant dat die niet zoveel te vrezen heeft als het bij die block page gebleven is

CISSP! Drop your encryption keys!

vrijdag 19 januari 2024 21:06

Acties:

0 Henk 'm!

Sokmetknopen

Topicstarter

En nog even deze:
Als ik in de browsergeschiedrnis kijk staat er:
Naam site | blocked client

Dat lijkt wel iets te zeggen toch, of niet?

vrijdag 19 januari 2024 21:24

Acties:

0 Henk 'm!

Sokmetknopen

Topicstarter

Als je daarop klikt zou je ongeveer hetzelfde moeten zien als in de link naar het PNG plaatje dat ik gaf. Heb je dat plaatje bekeken en was dat ongeveer wat je eerder vandaag zag?

Nee, dat ziet er anders uit. De pagina was wit, met zwarte letters...

vrijdag 19 januari 2024 22:06

Acties:

0 Henk 'm!

Sokmetknopen

Topicstarter

Net malware bytes gedraaid.
Die gaf 1 hit, blijkbaar komend van een extentie van firefox, video dowloader, iets waar ik een licentie van heb gekocht....vreemd wel...
Iig komt die al van vorig jaar, dus staat er los van. geen overige meldingen.
Het zal wel goed zij zeker....?

Dank voor al jullie hulp...

vrijdag 19 januari 2024 22:12

Acties:

+3 Henk 'm!

Anoniem: 1576590

Gezien de witte pagina met zwarte letters vermoed ik dat de hoster de website de nek omgedraaid heeft (nog voordat deze door Google Safe Browsing als kwaadaardig is opgenomen).

Het komt echter ook voor dat een kwaadaardige website doet alsof dat gebeurd is. Meestal is dat omdat jij geen interessant doelwit bent, bijv. omdat je Firefox gebruikt of een ander OS dan waar zij een exploit voor klaar hebben staan, of dat je (op basis van jouw IP-adres) uit een oninteressant land komt.

En, zoals @laurens0619 schreef, het komt nog maar heel weinig voor dat jouw browser meteen gecompromitteerd raakt door het slechts bekijken van een website (de tijd van voortdurend kwetsbare support voor Java applets, Flash en andere ActiveX plugins ligt gelukkig achter ons).

Als Firefox up-to-date is en jij geen Very Important Person bent, is de kans zeer klein dat een website een zero-day kwetsbaarheid in Firefox heeft uitgebuit om jou te hacken (hoe vaker een exploit gebruikt wordt, hoe eerder de kwetsbaarheid gerepareerd wordt; werkende exploits zijn zeer prijzig).

Meestal verleiden criminelen je om iets te downloaden en te openen, of gaat het om een phishingsite die als twee druppels water op bijvoorbeeld https://login.microsoftonline.com lijkt, of gaat het om een "pakket kon niet worden afgeleverd" nepsite die om een kleine creditcardbetaling vraagt voor alsnog afleveren (waarna jouw creditcardrekening wordt geplunderd).

Als je de phishingmail nog hebt: ik ben benieuwd naar de link daarin en wil daar desgewenst wel wat verder onderzoek naar doen.

Nb. als je zo'n "foute" link publiceert, vervang dan "https" door "hxxps" (of "http" door "hxxp") en zet blokhaken om punten in de domeinnaam, dus iets als volgt:
hxxps://tweakers[.]net
Daarmee voorkóm je dat mensen er per ongeluk op klikken, maar ook dat browsers een preload doen omdat ze een geldige URL herkennen.

vrijdag 19 januari 2024 22:27

Acties:

0 Henk 'm!

Anoniem: 1576590

Sokmetknopen schreef op vrijdag 19 januari 2024 @ 22:06:
Net malware bytes gedraaid.
Die gaf 1 hit, blijkbaar komend van een extentie van firefox, video dowloader, iets waar ik een licentie van heb gekocht....vreemd wel...
Iig komt die al van vorig jaar, dus staat er los van.

Dat een extensie aanvankelijk okay was, hoeft niks te zeggen. Soms verkopen de oorspronkelijke makers hun product aan minder frisse types, die de eerstvolgende (automatische) update van die extensie (of plugin) nare dingen kunnen laten doen.

Browserextensies kunnen vaak bij alles meekijken met wat jij met jouw browser doet, waaronder inloggegevens kapen en, als je internetbankiert met die browser, transacties uitvoeren die jij niet ziet.

Ik zou die extensie als bestand uploaden naar https://virustotal.com/. Dat is een site met tientallen virusscanners (al jaren in het bezit van Google). Als er meer dan 1 á 2 scanners alarm slaan zou ik niet meer zomaar van "valspositieven" uitgaan en googlen naar de ervaringen van anderen.

vrijdag 19 januari 2024 22:46

Acties:

0 Henk 'm!

Sokmetknopen

Topicstarter

zo, wat een info, wat fijn zeg!
ik heb dat bestand naar virustotal geupload en wordt niet als kwaadaardig gezien daar. Prima, toch maar verwijderd.
Je kan daar ook een url invoeren zo te zien...zou ik dus ook met de link kunnen doen.

vrijdag 19 januari 2024 23:35

Acties:

0 Henk 'm!

Anoniem: 1576590

Sokmetknopen schreef op vrijdag 19 januari 2024 @ 22:46:
zou ik dus ook met de link kunnen doen.

Zeker, maar houd er rekening mee dat als VT (VirusTotal) zegt dat 0 scanners iets derecteren, dat dit niet garandeert dat de site veilig is (andersom, bij 1 of meer scanners die aanslaan, gaat het vaak wel om rottigheid).

Er zijn foute sites waarvan de eigenaren weten vanaf welke IP-adressen VT scans uitvoert, en dan als antwoord bijv. "404 page not found" liegen. Of waar je eerst een captcha op moet invullen, dat VT niet kan.

Bijvoorbeeld op een Russische server met IP-adres 213[.]226[.]123[.]41 worden elke dag meerdere "wegwerpdomeinnamen" voor nepsites geregistreerd (waarbij zo te zien elk van hen probleemloos een Let's Encrypt certificaat verkrijgt). De domeinnamen die er het meest recent zijn bijgekomen zie je bovenin deze VT pagina.

Merk op dat sommige (nog) door 0 virusscanners worden herkend (over enkele dagen kan dat zijn toegenomen, op deze server deugt echt niets). Als je in VT op een domeinnaam aan de rechterkant klikt (dan opent niet die site zelf, maar het VT oordeel daarover), dan kun je zien door welke virusscanners die site als kwaadaardig wordt gezien. Bijv. 12 lijkt dan veel, maar als jouw scanner er niet tussen zit, schiet je er natuurlijk niks mee op.

Bijvoorbeeld hxxps://ireland-ups[.]com/ wordt momenteel door slechts 5 (van 89) scanners herkend en heeft een Let's Encrypt certificaat dat vandaag is uitgegeven. Zojuist zag ik dat deze site al wordt geblokkeerd door GSB (Google Safe Browsing), maar als ik deze met een browser zonder GSB open zie ik dat de site gewoon live is en als twee druppels op de echte UPS website lijkt (maar deze is erop uit om persoonsgegevens van bezoekers te verzamelen en vervolgens hun creditcard te plunderen).

Maar goed, ik dwaal wat af van het topic...

zaterdag 20 januari 2024 12:50

Acties:

0 Henk 'm!

Sokmetknopen

Topicstarter

Wat nog wel opvallend was is dat ik de mail op twee email adressen heb gekregen. Deze zijn hetzelfde, behalve dat 1 einigd op live.com de ander op gmail.com. Dat maakt het misschien minder vreemd.
De mail bood ticket verkoop aan

[quote]Anoniem: 1576590 schreef op vrijdag 19 januari 2024 @ 22:12:

Als je de phishingmail nog hebt: ik ben benieuwd naar de link daarin en wil daar desgewenst wel wat verder onderzoek naar doen.

Als ik het goed begrijp is:
- de kans dat dit malware op mijn pc of in de browser heeft gezet vrijwel uitgesloten
- is misschien mijn email adres bevestigt wat onhandig is maar minder erg
Dan lijkt het er op dat het meevalt en laat ik het geloof ik liever rusten dan er verder in te duiken...

zaterdag 20 januari 2024 13:23

Acties:

0 Henk 'm!

Anoniem: 1576590

Sokmetknopen schreef op zaterdag 20 januari 2024 @ 12:50:
Dan lijkt het er op dat het meevalt en laat ik het geloof ik liever rusten dan er verder in te duiken...

Prima, ook ik zit niet om werk verlegen...
Mooi weekend verder!

zaterdag 20 januari 2024 14:29

Acties:

0 Henk 'm!

Sokmetknopen

Topicstarter

Ik zie net dat er 3 dagen ervoor dezelfde mail wel in de spam box staat, met een ander url er in, misschien ook een andere afzender, dat weet ik niet. Ook verkoop van tickets voor hetzelde evenement (het is niet dat ik deze heb gemarkeerd als vertrouwd ofzo, ik zie het nu net).

Ik weet niet of dit relevante info is om in te schatten wat voor mail het is, maar ik vermeld het nog maar even.

Dank voor al deze uitgebreide antwoorden, en ook een fijn weekend nog!

[ Voor 9% gewijzigd door Sokmetknopen op 21-01-2024 12:56 ]

zondag 21 januari 2024 13:47

Acties:

+1 Henk 'm!

BytePhantomX

Een prachtig voorbeeld waarom alle bewustwordingscampagnes rondom het klikken van een link zo vervelend en contraproductief zijn. Mensen worden getraind dat het klikken van een link al kan leiden tot de grootste mogelijke consequenties, terwijl de kans in de praktijk vrijwel nihil is. Het enige dat je vrijgeeft is potentieel wat (privacygevoelige) informatie maar meer niet.

Er is altijd een tweede stap nodig, downloaden van malware (die je al gebruiker dan ook zelf moet activeren) of het inloggen op een website. Die nuance is echter lastig, dus houden we het op het klikken van een link. Iets wat een gemiddelde gebruiker tientallen keren per dag doet.

En ja theoretisch kan er een 0-day zitten in een browser, maar actoren die daar gebruik van kunnen maken, verbranden die mogelijkheid echt niet op een willekeurig persoon.

zondag 21 januari 2024 13:51

Acties:

0 Henk 'm!

laurens0619

Couldnt agree more

De boodschap van de gemiddelde security awareness campagne is “alles is gevaarlijk”

Dat is het in theorie natuurlijk ook maar ik vraag mij altijd af hoe dat mensen gaat helpen. Beter kun je ze leren wat veilig is en wat specifiek gevaarlijk is

Makkelijker gezegd dan gedaan trouwens

[ Voor 5% gewijzigd door laurens0619 op 21-01-2024 14:03 ]

CISSP! Drop your encryption keys!

zondag 21 januari 2024 15:38

Acties:

0 Henk 'm!

Anoniem: 1576590

laurens0619 schreef op zondag 21 januari 2024 @ 13:51:
De boodschap van de gemiddelde security awareness campagne is “alles is gevaarlijk”

Dat weet ik niet, op internet lees ik vooral:

Klik niet zomaar op een link

Zonder "zomaar" toe te lichten. Logisch, want dat kan helemaal niet.

Dat is het in theorie natuurlijk ook maar ik vraag mij altijd af hoe dat mensen gaat helpen. Beter kun je ze leren wat veilig is en wat specifiek gevaarlijk is

Makkelijker gezegd dan gedaan trouwens

Absoluut. Ik ben al een tijd zoekende naar hoe dan wel.

Voor mijn gevoel moet ik dat vooral zelf bedenken, want op internet zie ik alleen maar onzin die steeds herhaald wordt. Vrijdag nog over .pdf.lnk bestanden:

Microsoft: universiteitspersoneel doelwit van aanval met .pdf.lnk-bestand
[...]
In de analyse geeft Microsoft niet het advies om het verbergen van bestandsextensies uit te schakelen, maar linkt wel naar een MITRE-pagina waar dit wordt aangeraden.

Hetgeen totaal zinloos is bij .lnk.

Ook als je in verkenner het "tonen van bestandsextensies" aanzet, geldt dat weer niet voor een aantal "speciale" extensies, waaronder die .lnk.

In 2022 schreef ik daarover:

Voor nog meer duidelijkheid kun je ook "SuperHidden" bestandsextensies zichtbaar maken, waaronder .lnk (nadeel is dat je in start menu e.d. ook al die .lnk extensies ziet). Zie https://security.nl/posting/39055, https://www.techguy.org/threads/show-super-hidden-file-extensions.384336/ en https://ss64.com/nt/superhidden.html.

Die eerste link verwijst naar een posting van mij uit 2012 (ik weet niet waarom de opmaak daarin stuk is gegaan); dit risico is dus al veel langer bekend.

Helaas heeft Microsoft gebruikersgemak en ondersteuning van legacy-meuk altijd voorrang gegeven op beveiliging. Zoals suggereren dat bestandsextensies leidend zijn, maar vervolgens in bestanden zelf spieken of ze wellicht door een ander proces geopend moeten worden. Windows proberen te beveiligen is dweilen met de kraan open, met telkens nieuwe verrassingen - meestal onaangename.

Voeg daar het huidige onveilige internet (zie ook hier, hier en hier) aan toe, waar niemand iets aan wil doen (vooral niet de bedrijven die indirect geld verdienen aan cybercrime, zoals DNS-boeren en hosters - die op hun beurt weer DV-clubs zoals Let's Encrypt financieren), met als gevolg dat veel internetters Russisch Roulette spelen.

Gelukkkg gaat AI al onze problemen oplossen! Oh wacht...

Edit 16:42: link gecorrigeerd

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties