[Vimexx] Mogelijk datalek? Phishing-mail ontvangen op uniek

Mog schreef op vrijdag 18 juli 2025 @ 09:17:
Mijn vragen aan jullie:

• Hebben jullie andere verklaringen voor hoe mijn unieke e-mailadres in handen van cybercriminelen kan zijn gekomen?
• Zijn er andere Vimexx-klanten die recent soortgelijke phishing-mails hebben ontvangen?

Ik heb niks ontvangen.

Een eventuele andere verklaring zou mass targeting kunnen zijn. Het maken van unieke adressen of catch-all mailboxen is ook niet onbekend bij cybercriminelen, al hebben ze natuurlijk dan wel een foutje gemaakt.

Ik zou het trouwens (ook) melden aan abuse@nl.team.blue security@nl.team.blue, aangezien dit het moederbedrijf is van zowel Vimexx, als TransIP.

Er zijn vele mogelijkheden waardoor een e-mailadres uit kan lekken. Het kan bijvoorbeeld bij jezelf zijn via opgeslagen wachtwoorden van de browser, of invulsuggesties van de browser. Of via je e-mailprogramma die e-mails of contactpersonen lekken door bijvoorbeeld reclame laten zien.
Het kan ook zijn dat het bedrijf ze lekt via een e-mail/factuurprogramma, of inderdaad iets met lekken van database.
Bij de de domeinregistratie contactgegevens staat wel een andere e-mailadres?


Wat ook regelmatig voorkomt is dat ze e-mailadressen gokken door het gedeelte voor het apenstaartje te vervangen wat bij een ander e-mailadres voor het apenstaartje staat.
Wat jij doet met "bedrijf"@[mijndomein].com wordt vaker gedaan, die die combinaties worden vaak gebruikt.

Je kunt beter een willekeurig aantal cijfers in het e-mailadres zetten, zodat het echt uniek is en raden onmogelijk wordt. Het wordt dan bijvoorbeeld vimexx63419724@[mijndomein].com.

Daarnaast, vanaf 17 juli zijn anonieme registraties houders bij SIDN niet meer toegestaan, waardoor Vimexx domeinhouders heeft aangepast en sindsdien is je email zichtbaar via RDAP.

Voorbeeld: https://rdap.sidn.nl/domain/tweakers.nl

Christoxz schreef op vrijdag 18 juli 2025 @ 09:32:
Daarnaast, vanaf 17 juli zijn anonieme registraties houders bij SIDN niet meer toegestaan, waardoor Vimexx domeinhouders heeft aangepast en sindsdien is je email zichtbaar via RDAP.

Voorbeeld: https://rdap.sidn.nl/domain/tweakers.nl

Zie TS. Het gaat naar een .com adres daar heeft SIDN niets mee te maken.

RobbyTown schreef op vrijdag 18 juli 2025 @ 10:01:
[...]

Het gaat naar een .com adres daar heeft SIDN niets mee te maken.

Dat is waar de phising naar toe gaat, het geregistreerde domein bij Vimexx zou een .nl kunnen zijn.

domeinbijvimexx.nl geregistreerd met vimexx@zijndomein.com

Dan is vimexx@zijndomein.com zichtbaar in RDAP.

[ Voor 16% gewijzigd door Christoxz op 18-07-2025 10:03 ]

Ik krijg sinds vannacht ook gerichte spam op het mailadres dat ik gebruik voor domeinregistraties. Ik dacht ook meteen aan misbruik van RDAP door phishers.

Oh well - was te verwachten.

Christoxz schreef op vrijdag 18 juli 2025 @ 10:02:
[...]


Dat is waar de phising naar toe gaat, het geregistreerde domein bij Vimexx zou een .nl kunnen zijn.

domeinbijvimexx.nl geregistreerd met vimexx@zijndomein.com

Dan is vimexx@zijndomein.com zichtbaar in RDAP.

Ah zo op die manier. Inderdaad een goeie.

Betreft je vorige bericht dat anoniem vanaf 17 juli niet meer mag.

Dacht dat al van kracht was 2 jaar geleden een bericht van: nieuws: SIDN: .nl-domeinen mogen vanaf oktober niet meer via proxy worden ger...

Of is proxy en anoniem iets anders?

[ Voor 3% gewijzigd door RobbyTown op 18-07-2025 10:15 ]

RobbyTown schreef op vrijdag 18 juli 2025 @ 10:14:
[...]

Ah zo op die manier. Inderdaad een goeie.

Betreft je vorige bericht dat anoniem vanaf 17 juli niet meer mag.

Dacht dat al van kracht was 2 jaar geleden een bericht van: nieuws: SIDN: .nl-domeinen mogen vanaf oktober niet meer via proxy worden ger...

Of is proxy en anoniem iets anders?

In het artikel:

De regels gelden vanaf oktober voor iedereen, maar SIDN zegt 'niet per die datum direct de nieuwe regel ten opzichte van bestaande registraties te gaan handhaven'.

Mail van Vimexx 1 juli 2025:

Indien de houder niet voor de 17 juli wordt gewijzigd, zullen wij automatisch de houder wijzigen naar de gegevens die bij ons bekend zijn onder het account.

Mochten deze gegevens niet volledig zijn of lukt het ons niet om de wijziging door te voeren, dan loop je het risico dat het domein door SIDN offline zal worden gehaald.

Handig: https://www.sidn.nl/nl-domeinnaam/opt-out-verzoeken

Anyway, mocht het een .nl domein zijn, zou dit een eventuele verklaring kunnen zijn voor het 'uitlekken' van het email adres.
En inderdaad de wijziging van SIDN heeft geen invloed, aangezien hij pas dit jaar heeft geregistreerd en het al dus niet anoniem was.

[ Voor 4% gewijzigd door Christoxz op 18-07-2025 10:20 ]

Hier drie Vimex domeinen, maar nog geen spam mail op ontvangen.

Afgelopen week heb ik die van anoniem afgehaald, na berichtje van Vimexx, maar niet op gebruikte emailadres gelet. Dat heb ik gelijk meteen even aangepast.

Ik heb dezelfde mail ontvangen, heb geen Vimexx account maar wel een TransIP account. Helaas geen sub-addressing gebruikt en dit mailadres gebruik ik ook voor bijv. wat domeinregistraties.

Mog schreef op vrijdag 18 juli 2025 @ 10:58:
[...]

Ik heb inderdaad NL domeinen in beheer bij Vimexx met het .com adres in de RDAP zichtbaar. Dat zou het dus kunnen zijn. Zijn de vissers er wel als de kippen bij (het is nu 18 juli).

Nou, in jou geval zou het al openbaar zijn geweest, @RobbyTown haalde namelijk een nieuws artikel aan, dat in 2023 al voor nieuwe registratie anoniem niet mogelijk zou zijn.
De verandering sinds 17 Juli ging om registraties die al voor oktober 2023 zijn geweest.

Ik denk persoonlijk niet een datalek, maar wellicht voor phishers een motivatie om RDAP door te gaan, omdat er nog meer data beschikbaar zou zijn, kan allemaal geautomatiseerd, en daarom wellicht ook de verwarring tussen Vimexx & TransIP.


Een tip voor iedereen is dan dus ook om een nieuwe domeinhouder te maken, met een ander email adres.
Zodat de RDAP email, niet het zelfde is als je registar account.

Ik heb laatst dezelfde mail gehad bij Vimexx inderdaad en deze is door de catchall toch in mijn inbox terechtgekomen. Ik werd aan de twijfel gebracht omdat het domein onlangs verlengd was maar ik heb verder helemaal geen los mailbox abo, maar ik gebruik het wel voor een mailbox. Ik ben er dan ook wel ingetrapt maar de link ging richting een pagina die er uit lag gelukkig.

Even een niet scherp momentje en het kan je overkomen.

[edit] Apart! Het betreft een .eu domein, ik heb het ook binnengekregen op de catchall op dat domein maar de whois gegevens komen uit bij mijn gmail die totaal niets ermee te maken heeft.

[ Voor 18% gewijzigd door sigmundfreund op 18-07-2025 11:20 ]

Christoxz schreef op vrijdag 18 juli 2025 @ 09:27:
[...]


Ik heb niks ontvangen.

Een eventuele andere verklaring zou mass targeting kunnen zijn. Het maken van unieke adressen of catch-all mailboxen is ook niet onbekend bij cybercriminelen, al hebben ze natuurlijk dan wel een foutje gemaakt.

Komt dat echt voor?

Ik gebruik zelf ook de "Catch-all" methode voor unieke emailadressen. En ik kan niet zeggen dat ik ooit spam heb gehad op een emailadres die ik nog nooit ergens gebruikt heb.

Ik vraag mij ook af of het effectief zou zijn voor de spammer. Mensen die dit soort technieken gebruiken zijn niet het soort mensen die snel in spam of phishing trappen.

Nou lekker dan... dat mijn e-mailadres voortaan zichtbaar is(?). Hier had Vimexx wel actief voor mogen waarschuwen, aangezien ik nu een phishingmail ontvang van "Vimexx" over een zogenaamde "niet betaalde factuur". Terwijl maar heel weinig mensen dit specifieke e-mailadres kennen.