Bijna wekelijks ontvang ik ze: phishing-mails. Doorgaans komen ze niet door mijn Mailwasher-filter heen, maar soms glipt er eentje tussendoor en belandt die al snel met een geroutineerde handeling in de prullenbak van mijn mailprogramma. Ongeveer een maandje geleden heb ik zo’n phishing-mail al eens door de mangel gehaald en maakte ik daar instructie-afbeelding van. De tweet daarover werd 41 keer geretweet. Voor mijn doen aardig veel. Kennelijk voorziet uitleg hoe je een phishing-mail kunt ontleden in een behoefte. Tijd om het dus weer eens dunnetjes over te doen!

phishing

Op 1 augustus 2014 ontving ik deze mail van, ahum, ING:

email

Een aantal zaken valt meteen op:

  • Er wordt geen gebruik gemaakt van de ING huisstijl.
  • De e-mail is gericht aan ‘undisclosed-recipients’, ofwel: de adressering is gedaan via BCC. Allerminst professioneel..
  • Er is een verkeerde datum gebruikt (1 augustus 2013 is immers al een jaar geleden).
  • De mail lijkt afkomstig van het e-mailadres ‘[email protected]’. Dat zou dus betekenen dat de ING-bank het domein ‘www.bijwerkservice.nl’ beheert en dit gebruikt voor officiële correspondentie met klanten. Dat lijkt me uitermate sterk..

Als we even een kijkje nemen op dat domein, dan valt op dat hostingprovider MijnDomein zo vriendelijk is geweest dit domein vast te leggen voor diegenen die hier, naar mijn overtuiging, toch ietwat moreel verwerpelijke bedoelingen mee hebben:

bijwerkservice

Het zou hostingprovider MijnDomein sieren om iedereen die op zoek is naar deze site of daar mail naartoe stuurt te waarschuwen dat die domeinnaam wordt gebruikt voor frauduleuze praktijken. Ik hoop dat dit blog daaraan kan bijdragen.

Maar we zijn er nog niet, laten we nog even verder kijken naar de e-mail:hyperlink

In de mail staat een hyperlink om naar de zogenaamde ‘beveiligde’ website te gaan. Wanneer ik met de muis boven deze link ga staan zie ik dat wanneer ik daar op klik ik zal worden doorgestuurd naar http://processingupdate.altervista.org/verplichting.html. Het enige Nederlands dat daarin staat is ‘verplichting’. Naast het feit dat er aan deze link niets beveiligd is (er mist een cruciaal ‘s’-je na http) is het hoogst onwaarschijnlijk dat ING iets met het domein altervista.org heeft waar deze link naar verwijst. Altervista.org blijkt een hostingprovider die gratis hosting biedt. Volgens Domaintools.com staat de server ervan in Arizona Phoenix. De Italiaanse versie van Wikipedia heeft aan deze provider zelfs een heus artikel gewijd. ING die een gratis hostingprovider gebruikt.. Yeah right!

Als je op de hyperlink klikt (don’t try this at home!), dan kom je op een pagina die enigszins lijkt op een inlogpagina van ING:

inloggen-valse-ing

Bovenin de adresbalk zie je staan dat deze inlogpagina inderdaad wordt gehost bij altervista.org (staat middenin de URL). Dat de site verder in een standaard Times New Roman-lettertype staat valt natuurlijk ook meteen negatief op. De maker van dit valse formulier heeft nog wel geprobeerd om de standaard huisstijl van ING te gebruiken, dat kun je zien in de HTML-code van de pagina. Er wordt geprobeerd de huisstijl van de ideal-pagina van ING in te lezen. Zie de onderste twee regels in dit stukje HTML-code:

broncode1

Ik bedenk me overigens dat dit ook gewoon een slordigheidje kan zijn omdat er wellicht gebruik gemaakt is van de HTML-code van een échte pagina van ING. Gewoon slecht gekopiëerd dus. Maargoed, echt verder kijken hier hoeft niet. Als het echt een beveiligde pagina zou zijn zou je in de adresbalk toch minimaal een slotje moeten zien. En https.

Terug naar de mail, want ook de e-mail heeft een broncode die ons meer kan vertellen waar deze vandaan komt. Hoewel de mail van het (hoogst discutabele) ‘bijwerkservice.nl’ lijkt te komen valt dat nog te bezien. Dat kun je namelijk heel eenvoudig manipuleren. Laten we eens naar de e-mail headers kijken, de gegevens die elke e-mail meezendt maar die je normaal gesproken niet ziet in je mailprogramma. Hoe je die wel kunt zien? Dat hangt van je mailprogramma af. In Outlook 2013 werkt dat als volgt:

  • Klik in de mail op menu ‘Bestand’.
  • Kies voor de vierde optie in het scherm: ‘Eigenschappen’.
  • Ga naar ‘Internetheaders’ en kopiëer het volledige veld. Vervolgens plak je het even in Kladblok (Notepad.exe) om alle tekst netjes en overzichtelijk in één scherm te krijgen.

headers

Wat er ook voor informatie staat, een IP-adres liegt niet. Nou twijfel ik er niet aan dat in onderstaande afbeelding ‘webmail3.mijndomein.nl’ iets aan duidelijkheid te wensen overlaat, maar niet in alle gevallen ligt het er zo dik bovenop.ipadres

Het IP-adres waar de mail vandaan is gekomen is 188.93.148.160. Waar IP-adressen thuishoren is met menig gratis tool eenvoudig te achterhalen, bijvoorbeeld met de ‘Who Is’-functie bij LookIp.net: http://www.lookip.net/whois/188.93.148.160.

De uitkomsten bevestigen wat we al zagen, namelijk dat dit IP-adres toebehoort aan hostingprovider MijnDomein:

ipmijndomein

ING die klanten via webmail bij hostingprovider MijnDomein vraagt om in te loggen op een webformulier die wordt gehost op een server in Arizona die wordt gebruikt door een Italiaanse gratis hostingprovider? Nee, dat zou ik niet zo snel vertrouwen..

Aanvulling
Binnen een dag na publicatie van dit blog schijnt MijnDomein maatregelen te hebben genomen. Het domein bijwerkservice.nl blijkt nog steeds gereserveerd te zijn door MijnDomein, maar kennelijk is de mailfunctie van dat domein buiten werking gezet:

w6VKTvERDit blog is oorspronkelijk geplaatst op deze pagina en met toestemming van Rick de Haan overgenomen  op onze site. Rick blogt onder andere over, zoals hij dat noemt, de technotoekomst van het veiligheidsdomein. Te denken valt hierbij aan big data, singularity, augmented reality en de impact daarvan op leefbaarheid en veiligheid.

Gerelateerde berichten:

Tagged with →  

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *