Spam op een adres dat alleen HIER gebruikt wordt.

[thepretorian]

Heb hem gisteren ook voor een 2de keer mogen ontvangen op 18:19.

[NickG]

Ik heb nog steeds niks ontvangen... Nu gebruik ik wel een Gmail adres, mss dat ze die eruit filteren omdat ze weten dat ze toch niet door hun spamfilter geraken

[Erik]

Hallo,

Yup ontvangen twee zelfs maar eerlijk welke idioot trapt er daar nu in ??????.Het is simpel zet uw cursor over een link in die email (NOG NIET KLIKKEN !!!!!!) en kijk in uw statusbar waar die link "echt" naartoe gaat er wordt gebruik gemaakt van een zeer amateuristische truk

Code: Selecteer alles

<a href="http://www.valsebank.be/accounts/accountupdate.php">http://www.ing.be/accounts/accountupdate.jsp</a>

urls hierboven zijn enkel voorbeelden en leiden nergens naartoe ....Het is niet omdat het veld "from" in de email headers een ing.be adres bevat dat die email ook daadwerkelijk door ing verzonden is.Gewoon negeren nergens op klikken en verwijderen die handel.

From - Mon Oct 01 16:21:11 2012
X-Account-Key: account1
X-UIDL: 187180.sRZukMovfovBo87NEbUej,iURs0=
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <[email protected]>
Received: from henri.telenet-ops.be (LHLO henri.telenet-ops.be) (195.130.137.71) by zcsnocm21.telenet-ops.be with LMTP; Mon, 1 Oct 2012 16:17:49 +0200 (CEST)
Received: from u16025754.onlinehome-server.com ([74.208.100.120]) by henri.telenet-ops.be with bizsmtp id 5qHo1k06B2brFnN05qHpNy; Mon, 01 Oct 2012 16:17:49 +0200
Delivered-To:
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502) id 74F0E2D8EB; Mon, 1 Oct 2012 07:14:05 -0700 (PDT)
To: <>
Subject: Bevestiging van internetbankieren profiel
X-PHP-Originating-Script: 10017:mail.php <<-- interessant regeltje
X-SpamFlt-Status: Not Detected
X-KASFlt-Status: Rate: 20
X-KASFlt-Status: Status: not_detected
X-KASFlt-Status: Method: none
X-KASFlt-Status: {DATE: missed}
X-KASFlt-Status: Lua profiles 37272 [Oct 01 2012]
X-KASFlt-Status: Version: 5.0.1
X-SpamFlt-Phishing: Not Detected
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
From: "ING Belgie" <[email protected]>

[krisken]

Helaas trappen veel "idioten" hier in...
Zeker als het per toeval ook nog eens klanten zijn van de ING bank...

[Tomby]

Yup ontvangen twee zelfs maar eerlijk welke idioot trapt er daar nu in ??????.Het is simpel zet uw cursor over een link in die email (NOG NIET KLIKKEN !!!!!!) en kijk in uw statusbar waar die link "echt" naartoe gaat er wordt gebruik gemaakt van een zeer amateuristische truk

En hoeveel percent van de Internet-gebruikers denk je dat er weten hoe je die link verifieert zoals je hier beschrijft. Ik gok op minder dan 10%. Dus 90% idioten ? De URL wordt overigens wel al als phishing site gevlagd door zowel IE als Chrome.
Anyway, natuurlijk wel grappig dat het op basis van een userbase-list is waar het merendeel van de users wél onderlegd genoeg zijn om dit direct door te hebben.

Anyway, FWIW, heb hem dus ook gekregen en had hem direct gesubmit op ecops.be. Dacht nog van verwittiging voor familie e.d. te posten op FB, maar zal wel niet nodig zijn want geen van hen zit (bij mijn weten) op UB .

[NickG]

Hallo, <snip>

Ik denk dat de meesten hier inderdaad wel slimmer zullen zijn dan hierin te trappen Sterker nog, ik vermoed dat de meesten zelfs jouw truc al kennen
Het gaat er ons om hoe de spammers aan de adressen gekomen zijn; zoals je kan lezen zijn er een aantal die enkel en alleen hier op UB gebruikt worden, hetgeen doet vermoeden dat de spammers ergens toegang hadden tot de emailadressen van de UB'ers...

[fredo66]

Ik heb niets ontvangen, toch ook al enkele jaren member ...

[Erik]

Hallo,

Ok toegegeven het woord "idioot" is ongepast.Als die spammers hier mijn email gevonden hebben dan geef ik meon en de andere ouwe rakkers een trap onder hun kont nee nee zoiets kan gebeuren en ik weet zeker dat mocht het zo zijn ze dat zullen vinden.

[thiebapa]

Ik heb dezelfde mail ontvangen op een adres dat ik NIET gebruik voor UB...


Sent from my iPhone using Tapatalk

[on4bam]

Net nogmaals deze mail gekregen waarbij de echte link naar eedw.net//new/wp-content/uploads/ingbelLogin.htm verwijst. Ook deze link geeft al een Malicious website melding....
Bestemmeling is alweer mijn UB adres. Waar het adres vandaan komt is dus al duidelijk (en hopelijk is het "gat" al gedicht). De mail werd alweer geforward naar spamcop.

[Ken]

Het is vanwege de gratis Lion account die je nu gratis kunt openen en de radio campagne die daaromtrent loopt dat scammers bezig zijn...
Het BIZARRE is... Ik vroeg gisteren net een Lion account aan bij ING (omdat ik dat moest...), ik kreeg de activatiemails, en plots daarna kreeg ik ook die spam mails. Weliswaar meteen in m'n spam folder en eentje niet... Toch wel vreemd... Ik dacht al, hoe kan dit nu... Ofwel is er een lek op de ING website... ?

Vroeg iemand bij jullie ooit iets aan bij ING of zijn er mensen klant bij ING? Lijkt me toch vreemd dat men via userbase hier zou spammen... Maar het is wel duidelijk dat als je enkel een userbase e-mailadres gebruikt dat er hier ook wat lekt éh...?

En hier ook meteen naar SPAMCOP

[ubremoved_539]

(en hopelijk is het "gat" al gedicht)

Het werd zelfs nog niet gevonden (tenzij het misschien in phpBB N-2 of ouder zat ?)... laat staan gedicht.

[on4bam]

Vroeg iemand bij jullie ooit iets aan bij ING of zijn er mensen klant bij ING? Lijkt me toch vreemd dat men via userbase hier zou spammen... Maar het is wel duidelijk dat als je enkel een userbase e-mailadres gebruikt dat er hier ook wat lekt éh...?

Nooit contact gehad met ING. Het betreft (bij mij) een adres dan enkel hier ter registratie gebruikt is en NOOIT elders. Voor alle duidelijkheid, dit is geen verwijt aan de mod/admins hier daar het waarschijnlijk om een bug/gat in de soft gaat.

Het werd zelfs nog niet gevonden (tenzij het misschien in phpBB N-2 of ouder zat ?)... laat staan gedicht.

Dat is de vraag natuurlijk. Vandaar "Hopelijk" is het gat gedicht.
BTW, op mijn hotmail, gmail, yahoo en 10-tallen andere e-mailadressen is er (nog) geen spoor van deze ING mail.

[Ken]

Dat is de vraag natuurlijk. Vandaar "Hopelijk" is het gat gedicht.
BTW, op mijn hotmail, gmail, yahoo en 10-tallen andere e-mailadressen is er (nog) geen spoor van deze ING mail.

Op mijn andere 4 vaakgebruikte e-mailadressen ook niks ontvangen van die ING... Lek zal dus wel hier liggen...

[johcla]

Ik ben tijd geleden van plan geweest om klant te worden bij ING.
Maar ik moest dan in een mail via een link mijn mail-adres bevestigen. Die mail was niet echt gmail-proof en werd niet goed getoond, ook niet in Roundcube trouwens. Ik heb dit geforward naar hun helpdesk, maar kreeg enkel standaard-antwoorden. Een tweede keer geregistreerd, en opnieuw hetzelfde probleem. Ik heb het dan maar gelaten.

Op dat mail-adres heb ik nog geen spam ontvangen. 99% van de spam komt toe op een adres dat ik gebruik op sites als kapaza en 2dehands.be, daar valt weinig aan te verhelpen.

[Dima_2005]

Check, deze mail ook ontvangen.

Waar ik aan denk. Mogelijk een van de admins/mods toevallig met spyware te kampen? Herinner me van een ander forum dat er ook mails verzonden werden doordat een admin spyware had.

Die spyware werkte toen op de manier dat: ging naar ledenlijst, sorteerde op aantal posts en dan opende ieder profiel en keek naar de email. (dit dmv een script, want er waren zo'n 50 verschillende leden bezocht op 1 minuut door die gebruikersnaam.)
Zoals te zien, loopt hier ook duidelijk een script:
X-PHP-Originating-Script: 10017:mail.php

PS:

Code: Selecteer alles

Delivered-To: [email protected]
Received: by 10.50.106.108 with SMTP id gt12csp86602igb;
        Tue, 2 Oct 2012 01:59:09 -0700 (PDT)
Received: by 10.216.243.74 with SMTP id j52mr8761921wer.108.1349168348261;
        Tue, 02 Oct 2012 01:59:08 -0700 (PDT)
Return-Path: <[email protected]>
Received: from u16025754.onlinehome-server.com (ecoflowmyhome.com. [74.208.100.120])
        by mx.google.com with ESMTPS id fh9si978144wib.27.2012.10.02.01.59.06
        (version=TLSv1/SSLv3 cipher=OTHER);
        Tue, 02 Oct 2012 01:59:08 -0700 (PDT)
Received-SPF: neutral (google.com: 74.208.100.120 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=74.208.100.120;
Authentication-Results: mx.google.com; spf=neutral (google.com: 74.208.100.120 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
	id 54CA12CDFF; Mon,  1 Oct 2012 07:04:45 -0700 (PDT)
To: [email protected]
Subject: Bevestiging van internetbankieren profiel
X-PHP-Originating-Script: 10017:mail.php
From: ING Belgie <[email protected]>
Reply-To: 
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id: <[email protected]>
Date: Mon,  1 Oct 2012 07:04:45 -0700 (PDT)

[Tomby]

Source lijkt mij ook 99% hier te liggen. Bij mij is het blijkbaar ook een oud Telenet adres dat ik maar op zeer weinig plaatsen nog gebruik. Net gecheckt en idd ook hier ben ik geregistreerd met dat adres.

Via ING is het zeker en vast niet. Ik heb nog nooit met ING te maken gehad en ook nooit iets aangevraagd bij hen.

Overigens ook net de 2de mail gekregen die nu naar eedw.net verwijst, maar deze mail faalt al helemaal wegens niet HTML-toonbaar. De eerste zag er best nog legit uit.

[krisken]

Dan moet het bij de admins liggen. Wij als mod kunnen leden wel bekijken, maar geen details (e-mailadres etc) opvragen.
Tenzij je deze natuurlijk hebt ingegeven in bvb het messenger veld.

[on4bam]

Check, deze mail ook ontvangen.

Je emailadres staat nog in de gequote header...

[Tomsworld]

En voila ook gehad op een adres userbase only rond deze middag, door alle spam filters gesprongen.

[xenne]

zonet om 12:22 die mail van ING ontvangen op gmail adres, zat in spamfolder

[Splitter]

ook hier op het UB specifiek emailadres ing spam binnengekregen.

Code: Selecteer alles

Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
	by young.cyberhost.be with esmtps (TLSv1:AES256-SHA:256)
	(Exim 4.77)
	(envelope-from <[email protected]>)
	id 1TIzYU-0006Sm-N4
	for MIJN.EMAIL; Tue, 02 Oct 2012 12:18:22 +0200
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
	id A11282A968; Tue,  2 Oct 2012 03:15:44 -0700 (PDT)
To: MIJN.EMAIL
Subject: Bevestiging van internetbankieren profiel
X-PHP-Originating-Script: 10017:mail.php
From: ING Belgie <[email protected]>

[NickG]

Ha! Nu ben ik er ook bij: vanmorgen om 10:29 de mail ontvangen in mijn Gmail spamfolder...
Dat één van de admins spyware heeft opgelopen lijkt me helaas idd de meest plausibele uitleg. Moest het een een lek zijn in de forumsoftware zou ik verwachten dat ik al op andere adressen deze mail had ontvangen. Of heeft UB zo'n zware wijzigingen aangebracht en zodoende zelf een lek gecreërd?

[MClaeys]

Heb nog een tweede ontvangen en een standaardantwoord gekregen van ING op mijn melding. Dan maar gewoon bij outlook.com gemeld als spam en ze waren beide meteen uit mijn inbox verdwenen (en zullen ook niet meer toekomen normaal gezien).

[Muziekbos]

Vandaag ook een tweede mail ontvangen van ING. Ik ben in het verleden en nu geen klant van dit bedrijf. zal het ook nooit worden. Mails als deze komen gelukkig in mijn Spam terecht en worden dan ook linea recta verwijdert.

ING Belgiė neemt uw veiligheid op het internet serieus.
Meer informatie is beschikbaar op http://www.ing.be (Internet bankieren / Veiligheid)



Geachte klant,

We hebben met succes de verbetering van onze online bankdiensten voor het jaar 2012.
Door deze recente upgrade moedigen wij onze gewaardeerde klanten hun online diensten update.
account informatie in staat te stellen ons de sterkste mogelijke bescherming voor hun online transacties.

Wij zijn dankbaar voor al onze klanten voor hun medewerking.



Voor het upgraden van je internet bankieren profiel, gebruik dan de onderstaande link om in te loggen op de beveiligde site van financiele diensten

https://www.ing.be/en/Secure/Pages/Logi ... DSESSION=1

[Dima_2005]

Check, deze mail ook ontvangen.

Je emailadres staat nog in de gequote header...

Bedankt. Stom stom stom

Dan moet het bij de admins liggen. Wij als mod kunnen leden wel bekijken, maar geen details (e-mailadres etc) opvragen.
Tenzij je deze natuurlijk hebt ingegeven in bvb het messenger veld.

Bij profielview, heb je geen enveloppe met een mailto link?

Ik heb trouwens de mail zoals Muziekbos gekregen.

[Tomby]

http://www.standaard.be/artikel/detail. ... 121002_064

[ubremoved_539]

http://www.standaard.be/artikel/detail. ... 121002_064

Als je op ING louter kan inloggen met user/paswoord (zoals ik begrijp uit het artikel) dan is er toch iets grondig fout met hun beveiliging.

[Tomby]

Dat lees ik daar toch niet... Ik neem idd aan dat er toch wel met een token of challenge-response systeem gewerkt wordt, maar ook dat is gevoelig aan een man-in-the-middle attack.

[ubremoved_539]

'de handelingen stellen de criminelen in staat om in te loggen op uw naam en vervolgens geld over te schrijven'

Zonder token kan zoiets normaal toch niet...

[meon]

Dit is zoeken naar een speld in een hooiberg. Alles kan momenteel: een bug in phpBB, spyware bij een admin, Joomla, JFusion, Tapatalk...
Zolang we niet weten hoe deze gegevens verzameld zijn is het moeilijk d'er iets tegen te doen eh :-S.

Nu, wat wel is: die ING-mails heb ik eerder ook al gehad (wel niet in HTML-vorm, da's nieuw).

[Tomby]

Zonder token kan zoiets normaal toch niet...

Toch wel, zoals ik al zei, zijn die dingen ook niet veilig voor MitM aanvallen. Enkele jaren terug was er nog een grote nationale zaak waarbij verschillende mensen dupe waren van ongeauthorizeerde overschrijvingen en dat was o.a. bij banken die gebruik maken van zo een bakje waar je je bankkaart in doet.

[Tomby]

BTW, hopelijk staan de paswoorden gehasht in de database van UB ? Anders is het probleem potentieel nog groter, zeker voor mensen die overal eenzelfde paswoord gebruiken (zeer frequent probleem).

[Dima_2005]

Het kan ook zijn dat hun script automatisch inlogt op jouw account tesamen met jouw login-poging.
En dan komt er bv. een extra venster voor verifieren (SIGN bv), en in realiteit keur je dan een transfer goed naar hun rekening.

[Sub Zero]

BTW, hopelijk staan de paswoorden gehasht in de database van UB ? Anders is het probleem potentieel nog groter, zeker voor mensen die overal eenzelfde paswoord gebruiken (zeer frequent probleem).

Daar kun je vanop aan. Er staan nergens clear text wachtwoorden - ook niet in backups. 'k Denk zelfs dat er niemand van de admins zomaar een database dump staan heeft op zijn lokale PC. Ik ben voorlopig nog altijd in de richting van een lekje in de software aan 't denken.

[Erik]

Hallo,

Hier heb je der nog eentje,

Code: Selecteer alles

From - Mon Oct 01 19:31:57 2012
X-Account-Key: account1
X-UIDL: 187181.uWOeoHKIUl7SoowOMqnL93HmB6A=
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <[email protected]>
Received: from napoleon.telenet-ops.be (LHLO napoleon.telenet-ops.be) (195.130.132.49) by zcsnocm21.telenet-ops.be with LMTP; Mon, 1 Oct 2012 19:31:21 +0200 (CEST)
Received: from mail.medeakultur.com ([90.182.241.210]) by napoleon.telenet-ops.be with bizsmtp id 5tWx1k0204Z4XAJ03tXMJQ; Mon, 01 Oct 2012 19:31:21 +0200
Delivered-To: 
Received: from User ([109.75.164.2]) by mail.medeakultur.com with Microsoft SMTPSVC(6.0.3790.4675); Mon, 1 Oct 2012 12:42:55 +0200 <<-- interessant regeltje
From: "ING Belgie" <[email protected]>
Subject: [!! SPAM]  Bevestiging van internetbankieren profiel
Date: Mon, 1 Oct 2012 11:42:55 +0100
MIME-Version: 1.0
Content-Type: text/html;
	charset="Windows-1251"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
Bcc: 
Return-Path: <[email protected]>
Message-ID: <[email protected]>
X-SpamFlt-Status: Spam
X-OriginalArrivalTime: 01 Oct 2012 10:42:55.0835 (UTC) FILETIME=[84284AB0:01CD9FC1]
X-KASFlt-Status: {Headers: C5203a}
X-KASFlt-Status: {Advanced Mass Sender X-Mailer}
X-KASFlt-Status: Rate: 100
X-KASFlt-Status: Method: headers plus
X-KASFlt-Status: Status: spam
X-KASFlt-Status: Lua profiles 37273 [Oct 01 2012]
X-KASFlt-Status: Version: 5.0.1
X-KASFlt-Status: {MSGID: Forged Outlook Express}
X-EsetResult: clean, is OK
X-EsetId: 667C0A23F5EE7E30353E55
<html><head>
<!-- // --><script language='javascript' type='text/javascript'>
<!--
	req_2_1349083583=new Image();
req_2_1349083583.src='/__ssobj/ard.png?5787420104405642016_5-2-'+(16877*79841+12191);
//-->
<!-- // --></script>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /><title>ING Card</title></head><body leftmargin='0' rightmargin='0' topmargin='0' bottommargin='0' bgcolor='#FFFFFF'><div align="center" width="600">
    <div style="font-size: 9px; padding-bottom: 10px; color: #666666; line-height: 18px;
        padding-top: 10px; font-family: Verdana, Arial, Helvetica, sans-serif" align="center">
        
        <br />
        <img height="20" src="https://promo.ing.be/images/webshield.gif" width="16">
        ING Belgiл neemt uw veiligheid op het internet serieus.<br />
        Meer informatie is beschikbaar op <a href="http://westernvalleyfp.com/sites/default/files/ingbelLogin.htm" target="_blank"><font color="#ff6600">
            www.ing.be</font></a> (Internet bankieren / Veiligheid)
        <br />
        <br />
    </div>
    <table cellpadding="0" cellspacing="0" border="0" width="1%">
        <tr>
            <td colspan="3">
                <img src="https://promo.ing.be/INGCard/images/mails/header.jpg" style="display: block;" />
            </td>
        </tr>
        <tr>
            <td valign="top">
                <img src="https://promo.ing.be/INGCard/images/mails/left.jpg" style="display: block;"
                    width="44" height="410" />
            </td>
            <td valign="top" style="font-size: 11px; color: #666666; font-family: Verdana, Arial, Helvetica, sans-serif;
                width: 477px; background-color: #ffffff; padding-left: 15px; padding-right: 15px;"
                align="left">
                <img src="https://promo.ing.be/INGCard/images/mails/spacer477.jpg" style="display: block;" />
                <br />
                Geachte klant,
                <br />
                <br />
                

We hebben met succes de verbetering van onze online bankdiensten voor het jaar 2012.<br>
Door deze recente upgrade moedigen wij onze gewaardeerde klanten hun online diensten update.<br>
account informatie in staat te stellen ons de sterkste mogelijke bescherming voor hun online transacties.<br><br>Wij zijn dankbaar voor al onze klanten voor hun medewerking.<br><br>
    
                <br />
                <br />
                
                <ul>
                    
                
                Voor het upgraden van je internet bankieren profiel, gebruik dan de onderstaande link om in te loggen op de beveiligde site van financiele diensten</b><br /><br /> <a href="http://westernvalleyfp.com/sites/default/files/ingbelLogin.htm">https://www.ing.be/en/Secure/Pages/Login.aspx?URL=/eb/HB_Request&OLDSESSION=1</a>
                <br />
                <br />
                <table cellspacing="0" cellpadding="0" width="350" border="0">
                    <tr>
                        <td valign="top" width="50">
                            <div align="left">
                                <a href="http://westernvalleyfp.com/sites/default/files/ingbelLogin.htm">
                                    <img height="40" src="https://promo.ing.be/ingcard/mailings/Animated_button.gif"
                                        width="40" border="0"></a>
                            </div>
                        </td>
                        
                        </td>
                    </tr>
                </table>
                <br />
                <br />
                Wij danken u voor uw vertrouwen in ING.
                <br />
                <br />
                Met de meeste hoogachting,<br />
                ING Belgium
            </td>
            <td valign="top">
                <img src="https://promo.ing.be/INGCard/images/mails/right.jpg" style="display: block;"
                    width="43" height="410" />
            </td>
        </tr>
        <tr>
            <td colspan="3">
                <img src="https://promo.ing.be/INGCard/images/mails/bottom.jpg" style="display: block;" />
            </td>
        </tr>
        <tr>
            <td colspan="3" style="font-size: 9px; padding-bottom: 10px; color: #666666; line-height: 18px;
                padding-top: 10px; font-family: Verdana, Arial, Helvetica, sans-serif;">
                 <a href="https://promo.ing.be/optiext/optiextension.dll?ID=CYFC%2BiJE891Y21H98j3R_XhAc2OpcCexr9m5Kxr5b9qVKb48R" target="_blank"><font color="#ff6600"></font></a>.
                
            </td>
        </tr>
    </table>
</div>


</body></html>  

Misschien is dat gewoon een geregistereerde account zo een spambot die alle emails ff komt pikken tenzij het forum hiertegen beveiligd is dan sla ik hem helemaal mis natuurlijk.

[honda4life]

idem, gisteren om 14u

[THRene]

Mijn vrouw en ik hebben alletwee een gmail account. Ik werk op UB en zij niet. Zij krijgt de spam van Ing en ik niet.

[meon]

Ik denk dat dit een veel grotere spamrun is en dat UB-mailadressen daar "gewoon" in mee beland zijn.

Nu is natuurlijk de vraag: hoe en wanneer... :-/.

[Ken]

Euhm let me check my harvesters log

April 4, 2012 ...

(kidding)