Spam op een adres dat alleen HIER gebruikt wordt.

[krisken]

Grote kans, maar dat duid dan toch op een phpbb probleem niet?

[MClaeys]

Ik denk dat dit een veel grotere spamrun is en dat UB-mailadressen daar "gewoon" in mee beland zijn.

Nu is natuurlijk de vraag: hoe en wanneer... :-/.

Aangezien het op mijn outlook.com adres toekwam hooguit de laatste 2,5 maanden.

[Sub Zero]

Userbase genereert op 1 week +/- 500MB aan log files x 2.5 maand = grofweg 5GB aan plain text logging. 't Gaat effe duren we er door zijn en zonder echt aanknopingspunt is 't eigenlijk onbegonnen werk.

[krisken]

Ge gaat mij niet wijs maken dat je iets anders te doen hebt hé

[MClaeys]

Userbase genereert op 1 week +/- 500MB aan log files x 2.5 maand = grofweg 5GB aan plain text logging. 't Gaat effe duren we er door zijn en zonder echt aanknopingspunt is 't eigenlijk onbegonnen werk.

Dat zeg ik ook niet, het is gewoon al een kleinere tijdspanne dan de 2009 die hier eerder stond

[mailracer]

Zonder token kan zoiets normaal toch niet...

Toch wel, zoals ik al zei, zijn die dingen ook niet veilig voor MitM aanvallen. Enkele jaren terug was er nog een grote nationale zaak waarbij verschillende mensen dupe waren van ongeauthorizeerde overschrijvingen en dat was o.a. bij banken die gebruik maken van zo een bakje waar je je bankkaart in doet.

De gedupeerde had dan wel een besmette PC en had een ander scherm om verder te klikken bij een transactie. Dus ja het kan, maar niet zonder tussenkomst van een trojan

[Joe de Mannen]

Ik heb die mail ondertussen al op bijna al mijn emailadressen gehad, ook de bijna nooit gebruikte...

J.

[Petervanakelyen]

Heb de mail ondertussen 3 keer gekregen, enkel op het e-mailadres dat voor Userbase wordt gebruikt.

[krisken]

Voor wie voor elke site een ander e-mailadres wenst : zie http://userbase.be/forum/viewtopic.php? ... 04#p453904

[OpThaCop]

Beste, ik kan helpen!

Ik heb destijds mijn email adres aangepast van X naar Y (23 mei, even nagekeken).

Ik heb ook 2 berichten met SPAM gekregen op email adres Y (mijn huidige).

Dus het is NA 23 mei gebeurd dit jaar!

Groeten!

[honda4life]

Vandaag ook een tweede mail ontvangen

[Kenw00t]

Ik heb de mail ook 2x gehad op een domein dat ik pas sinds 11 juni dit jaar in mijn bezit heb. Kan me echter niet herinneren wanneer ik mijn e-mailadres hier dan exact gewijzigd heb.

[Block]

Vandaag ook die mail ontvangen

[ubremoved_539]

Nog niets gezien... op geen enkel adres (alhoewel aan dat van Userbase geraak ik niet meer aan).

[Astralon]

Hier die email al wel 10 keer gehad op verschillende adressen en op verschillende domeinen.
Meest recente email was daarnet en is op een email adres dat nergens gekend is: is wel een info@ dus gemakkelijk te raden.

Ik ben persoonlijk nog niet overtuigd dat dit een Userbase probleem is.

[Tomby]

De gedupeerde had dan wel een besmette PC en had een ander scherm om verder te klikken bij een transactie. Dus ja het kan, maar niet zonder tussenkomst van een trojan

Of de MitM nu een trojan op je PC is of een remote proxying website, maakt geen verschil. Natuurlijk heeft de Trojan meer kans op slagen omdat je als eindgebruiker helemaal niets merkt. Bij een remote webserver communiceer jij met die malicious server, dus dan moet je wel al heel onoplettend zijn om het niet te merken (en sowieso hebben alle browsers wel al features om de eindgebruiker te waarschuwen) maar in theorie kan het perfect.

[fonske50]

heb deze mail ook al 3x ontvangen adres word wel veel gebruikt

[johcla]

Vandaag een mail ontvangen van BELFIUS om mijn ING gegevens te updaten

[ubremoved_539]

Of de MitM nu een trojan op je PC is of een remote proxying website, maakt geen verschil.

Toch wel... want om op de remote proxying website terecht te komen moet men eerst je PC besmetten. Zolang dit niet gebeurd blijft http://www.mijnbank.be steeds naar mijn bank gaan en kan een MitM attack dus gewoonweg niet (tenzij men core networking infrastructuur van providers gaat hacken).

[Tomby]

Ik had het natuurlijk gewoon over deze specifieke phishing.
Als iemand erin trapt en voor de rest totaal niets doorheeft (oude browser, totaal geen Internet-kennis) dan kan hij perfect authenticaties en betalingen doen via de phisher's site die alles gewoon proxiet. Daarvoor hoeft zijn PC helemaal niet besmet te zijn. Dingen waarvan jij hierboven beweerde dat dat niet kon met deze phishing.

Stel bvb authenticatie adhv challenge/response met je bankkaart. E=enduser, P=phishing site, B=bank site. Ga ervan uit dat P compleet de site van B kan nabootsen.
* E klikt op link in mail en connecteert met P.
* P connecteert met B en krijgt een challenge C.
* P toont gewoon die challenge C aan E en vraagt om in zijn bakje+bankkaart M1+C+pincode in te geven.
* E geeft response van bakje in in webform op P, P geeft die gewoon door aan B. Op dit moment heeft P geauthenticeerd als E en heeft dus een usersessie in naam van E opgestart.

Ook betalingen gaan nu gemakkelijk.
* E wil een betaling, bvb €100 naar account X.
* E geeft gegevens in op webform van P. P wijzigt het rekeningnummer naar zijn eigen rek.nr. en initieert het betalingsproces met B. B stuurt een challenge C, en vraagt om op bakje+bankkaart M2+pincode+C+100+OK in te typen. P vraagt nu gewoon hetzelfde aan E. E geeft de response in, en P stuurt die gewoon door naar B, en voila, E heeft zonder het te weten €100 overgeschreven naar P ipv naar X.
* Bemerk dat vroeger het bedrag niet moest ingegeven worden, en een hacker dus ook het bedrag ongezien kon wijzigen. Dit is toen ten tijde van die grote nationale hack veranderd geworden, maar dus met het bedrag alleen heb je nog altijd geen garantie. Het probleem met die bakjes is dat je ahw een digitale handtekening zet, maar eigenlijk totaal niet weet (buiten het afgeronde bedrag) wat je digitaal handtekent.

[ubremoved_539]

Als iemand erin trapt en voor de rest totaal niets doorheeft (oude browser, totaal geen Internet-kennis) dan kan hij perfect authenticaties en betalingen doen via de phisher's site die alles gewoon proxiet.

Dan ga je ervan uit dat deze phising sites de volledig functionaliteit bieden die de originele bank website heeft.

Ik heb mij nog nooit ingelogged op zo'n fake site dus ik zou het niet weten... maar ik dacht dat ze enkel je login steelden en daarna vertelde dat je bedankt was voor het updaten van je info.

Als men tijdens het fake-"update van je gegevens" ook nog eens achter je code vraagt en daarna nog eens laat tekenen ook... en je dit effectief doet ... tja, dan ben je als gebruiker wel echt dom bezig.

[Tomby]

Volledig akkoord. Ik wou eigenlijk gewoon effen weerleggen dat je zei dat uit het artikel bleek dat ING simpele userid/pwd gebruikt. Maar dat in theorie veel meer mogelijk is. Heb de eigenlijke site ook niet gezien, dus ik zou niet weten wat ze hier proberen.

[johcla]

Bij ING moet je het rekeningnummer van de begunstigde ook als challenge ingeven. Een hacker kan zijn rekeningnummer wel vermommen als transactienummer of zo.
Een nieuwe truc die gebruikt wordt is dat een geïnfecteerde pc niet meer kan inloggen om te internetbankieren. Enkele minuten later krijgt men dan een telefoon, zogezegd van de bank, en wordt verwezen naar de mislukte login poging van zonet, om de geloofwaardigheid van het telefoongesprek te verhogen. En natuurlijk helpt de behulpzame 'bankbediende' om je gegevens te resetten, je moet enkel een paar challenge responses doorgeven...

[on4bam]

Het wordt nog gekker.

Code: Selecteer alles

ING Belgiл is het ontvangen van klachten van onze klanten voor onbevoegd gebruik van de ING Belgiл online accounts. Als gevolg daarvan hebben we periodiek ING Belgiл online accounts en tijdelijk de toegang van die rekeningen waarvan wij denken dat zijn kwetsbaar voor de onbevoegd gebruik.

 Dit bericht is naar u gestuurd van ING Belgiл, omdat we hebben gemerkt ongeldige login pogingen op uw rekening, als gevolg van deze zijn we tijdelijk beperken en het beperken van uw account toegang tot we uw identiteit te bevestigen.

Nu waarschuwen ze mensen al voor hun eigen mails

Alweer op mijn UB adres.
De links verwijzen naar alweer een ander domein: http://www.stgeorgebroker.com/wp-conten ... lLogin.htm dat in Firefox "Reported Web Forgery!" tot resultaat heeft.

[Erik]

Hallo,

Ja hoor nog eentje

Code: Selecteer alles

From - Fri Oct 05 10:10:41 2012
X-Account-Key: account1
X-UIDL: 187480.uhudp,Z0TU1DuI+2lsMuSt5rxg0=
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <[email protected]>
Received: from henri.telenet-ops.be (LHLO henri.telenet-ops.be) (195.130.137.71) by zcsnocm21.telenet-ops.be with LMTP; Fri, 5 Oct 2012 10:10:33 +0200 (CEST)
Received: from ex1bn.electricaserv.local ([81.12.166.50]) by henri.telenet-ops.be with bizsmtp id 7LAE1k06x15Zzi905LAYmT; Fri, 05 Oct 2012 10:10:33 +0200
Delivered-To: 
Received: from User ([109.75.164.2]) by ex1bn.electricaserv.local with Microsoft SMTPSVC(6.0.3790.4675); Fri, 5 Oct 2012 11:02:57 +0300
From: "ING Belgie" <[email protected]>
Subject: [!! SPAM]  SUSPECT: Verdachte ongeautoriseerde toegang
Date: Fri, 5 Oct 2012 09:05:03 +0100
MIME-Version: 1.0
Content-Type: text/html;
	charset="Windows-1251"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
Bcc: 
Return-Path: <[email protected]>
Message-ID: <[email protected]>
X-SpamFlt-Status: Spam
X-KASFlt-Status: Rate: 100
X-KASFlt-Status: {Headers: C5928}
X-KASFlt-Status: Method: headers plus
X-KASFlt-Status: Status: spam
X-KASFlt-Status: {Advanced Mass Sender X-Mailer}
X-KASFlt-Status: Lua profiles 37466 [Oct 04 2012]
X-OriginalArrivalTime: 05 Oct 2012 08:02:57.0173 (UTC) FILETIME=[D48FB450:01CDA2CF]
X-KASFlt-Status: {MSGID: Forged Outlook Express}
X-KASFlt-Status: Version: 5.0.1

[Erik]

Hallo,

Trouwens ING zegt dat ze machteloos staan.Ik vind dat dit niet waar is ik denk dat ze nog nooit van de fccu (Federal computer crime unit) gehoord hebben.Natuurlijk handelen deze bende scammers niet vanuit Belgie maar zeggen dat je macheteloos bent is je eigen reet indekken en zeggen kijk uit voor die pogingen tot bedrog want wij zijn te dom om iets te ondernemen hiertegen.Als ING klant bent ik uitermate ontgoochelt hoe hiermee omgegaan wordt.Ik zou achter de daders aangaan ook al is dat geen gemakkelijke opdracht maar soit doen alsof je neus bloed is simpeler natuurlijk.

[ubremoved_539]

Ik begrijp trouwens niet waarom banken hun web applicatie niet afblokken voor niet Belgische IP's (al lost dat niets op voor besmette PC's). Ik besef dat dit mogelijk een probleem geeft voor een zéér klein percentage van de gebruikers... maar voor die groep kan je een oplossing zoeken en ondertussen blok je een groot deel van het risico af.

[on4bam]

Ik begrijp trouwens niet waarom banken hun web applicatie niet afblokken voor niet Belgische IP's (al lost dat niets op voor besmette PC's). Ik besef dat dit mogelijk een probleem geeft voor een zéér klein percentage van de gebruikers... maar voor die groep kan je een oplossing zoeken en ondertussen blok je een groot deel van het risico af.

Dan had ik al wel eens iets voorgehad. Ik neem mijn "bakje" steeds mee op vakantie zodat ik in geval van nood iets kan overschrijven of de aanrekeningen van mijn CC kan controleren. Enkele jaren terug deed ik dat nog niet en werd mijn CC niet meer aanvaard en kon ik niets nakijken. Met 12 uur tijdsverschil om 2 uur 's nachts met Mastercard aan de telefoon gehangen om dan te horen dat alle uitgaven DUBBEL aangerekend waren. Dan is het toch prettig dat je dat eerst zelf kan checken en geen half uur aan de telefoon te horen krijgt dat je over de limiet zit.

Wanneer heb je trouwens een Belgisch IP? De eerste weken dat ik bij EDPnet zat stond ik op verschillende trackers met een Amerikaans vlaggetje achter mijn IP.

[NickG]

Ik begrijp trouwens niet waarom banken hun web applicatie niet afblokken voor niet Belgische IP's (al lost dat niets op voor besmette PC's). Ik besef dat dit mogelijk een probleem geeft voor een zéér klein percentage van de gebruikers... maar voor die groep kan je een oplossing zoeken en ondertussen blok je een groot deel van het risico af.

En wat zou het voordeel hiervan zijn? Het risico is volgens mij toch dat onwetenden in de phishingmail trappen en zo hun gegevens doorspelen aan criminelen. Het lijkt mij voor deze criminelen dan een koud kunstje om ervoor te zorgen dat zij met deze gegevens via een Belgisch IP connecteren naar de bank... Je voorstel zou volgens mij dus niet veel risico afdekken!

[thepretorian]

Vandaag ook 2 in de mailbox gekregen:

Code: Selecteer alles

x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrlxfR1hsaIVW9+qJLm2uoJJiOE7yxTzF30tWeidJAUPAZU0/53y6Po9W0thhCXDjozAJZ+KIW1MpDChi7UljweG3mzQoXayiXopHsK9vPH90=
Authentication-Results: hotmail.com; sender-id=fail (sender IP is 81.12.166.50) [email protected]; dkim=none header.d=promo.ing.be; x-hmca=fail
X-SID-PRA: [email protected]
X-SID-Result: Fail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: BY/+QKC/Ehap1FZqzka2fC3lKUfF/6BlP+TzRnvsw9A9yRW57Vu/o49qwIIKkeQLuCFWz74o8eni8Wz0tTe2oVbo5KUKlgAvGd3lTDqfRfiLcDwIk1DQ/HBS+5V0vBqOQvHUy+uYgmJ90Zi4XXZ1gQ==
Received: from ex1bn.electricaserv.local ([81.12.166.50]) by BAY0-MC2-F2.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
	 Fri, 5 Oct 2012 01:01:41 -0700
Received: from User ([109.75.164.2]) by ex1bn.electricaserv.local with Microsoft SMTPSVC(6.0.3790.4675);
	 Fri, 5 Oct 2012 10:58:13 +0300
From: "ING Belgie"<[email protected]>
Subject: SUSPECT: Verdachte ongeautoriseerde toegang
Date: Fri, 5 Oct 2012 09:00:20 +0100
MIME-Version: 1.0
Content-Type: text/html;
	charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
[b]X-Mailer: Microsoft Outlook Express 6.00.2600.0000[/b]
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: [email protected]
Message-ID: <[email protected]>
X-OriginalArrivalTime: 05 Oct 2012 07:58:13.0858 (UTC) FILETIME=[2BB14420:01CDA2CF]

Code: Selecteer alles

Subject: SUSPECT: Verdachte ongeautoriseerde toegang
Geachte klant, 

ING Belgiл is het ontvangen van klachten van onze klanten voor onbevoegd gebruik van de ING Belgiл online accounts. Als gevolg daarvan hebben we periodiek ING Belgiл online accounts en tijdelijk de toegang van die rekeningen waarvan wij denken dat zijn kwetsbaar voor de onbevoegd gebruik.

Dit bericht is naar u gestuurd van ING Belgiл, omdat we hebben gemerkt ongeldige login pogingen op uw rekening, als gevolg van deze zijn we tijdelijk beperken en het beperken van uw account toegang tot we uw identiteit te bevestigen.

Om uw identiteit te bevestigen en te verwijderen uw account beperking, volg dan de referentie-link.

https://www.ing.be/en/Secure/Pages/Login.aspx? (adres gaat naar http://www.stgeorgebroker/wp-content/gallery/ingbelLogin.htm)

Wij danken u voor uw vertrouwen in ING. 

Met de meeste hoogachting,
ING Belgium 

Tweede mail heeft zelfde inhoud, andere locatie.

Code: Selecteer alles

x-store-info:fHNTDlzCF8Nxw6HwcfGQy+S7Ax/lqLSmA4FFb7hcsrYBO3sSQxHnd/JKg4rB8ubOcx+h5A7drLntPKT68dCj2UIt6iVLOjvi1ebWwDXU9qe9akNTxHkJsUYSa3aGzXoqw/+I4ZSX7i4=
Authentication-Results: hotmail.com; sender-id=fail (sender IP is 74.208.100.120) [email protected]; dkim=none header.d=promo.ing.be; x-hmca=fail
X-SID-PRA: [email protected]
X-SID-Result: Fail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 5cuOr7VrmjDjXguGYjRNSRvr//8GjbyKq/bIJeAK+17O4m0wRnf1P3l+WdDEo2hc1we0fxk1bMXFDOyElQpiPiyh26ttZT4afpg0BPPUHc2rv0Ivosld9tOkN7RlWGV2q3cPHWxqEyVuUI+zZRPhsA==
Received: from u16025754.onlinehome-server.com ([74.208.100.120]) by BAY0-MC3-F26.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
	 Fri, 5 Oct 2012 03:25:03 -0700
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
	id B17D234A0B; Fri,  5 Oct 2012 03:20:26 -0700 (PDT)
To: @hotmail.com
Subject: Verdachte ongeautoriseerde toegang
[b]X-PHP-Originating-Script: 10017:mail.php[/b]
From: ING Belgie <[email protected]>

Eerste mail is via een normale computer verzonden, tweede is via een gehackte server.

[ubremoved_539]

Je voorstel zou volgens mij dus niet veel risico afdekken!

Je hebt gelijk... het zou inderdaad niet veel oplossen.

[fredo66]

Gisteren een 'variant' ING mail gehad, weliswaar niet op mijn huidig userbase adres (ontvangen op mijn werkadres maar kan verstuurd zijn naar een oud baseemailadres en via een nog steeds werkende forward naar mijn werkadres).
Hieronder de tekst, de url heb ik er uitgelaten.

van:
Siti Zaleha Bt Wahid <[email protected]>


Geachte klant

Wij vragen uw aandacht voor het volgende. Het afgelopen jaar is de ING bank en vele andere banken doelwit geworden van grootschalig internet fraude.
Om dit te bestrijden zullen wij alle online bankrekeningen koppelen aan een nieuw ontwikkeld beveiligingssysteem, waarmee verdachte bewegingen sneller getraceerd en opgelost worden. Om uw rekening te kunnen updaten met de nieuwe beveiligings software dient u te klikken op de onderstaande link. Na de update zult u worden gecontacteerd door een medewerker van de ING bank.
Open de link met uw Internet Explorer-browser om veiligheidsredenen

Gebruik de onderstaande : KLIK HIER

Na de update zal er door een van onze medewerkers contact met u worden opgenomen om het gehele proces te voltooien. Wanneer het gehele proces gereed is zal u weer als vanouds gebruik kunnen maken van het online bankieren via ING BANK.
Wij willen u alvast bedanken voor uw medewerking.

Hoogachtend,
ING-BANK ONLINE
Copyright 2012, ING BANK. alle rechten.

[conehead]

vandaag ook voor de eerste keer ontvangen ... heb wel geen account bij ing ....

[krisken]

Nog eentje gehad vandaag, iets creatiever

Code: Selecteer alles

Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Fri, 05 Oct 2012 13:24:35 +0200
Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
	by v01.s01.be.it2go.eu with esmtps (TLSv1:AES256-SHA:256)
	(Exim 4.77)
	(envelope-from <[email protected]>)
	id 1TK61D-0006UY-FI
	for [email protected]; Fri, 05 Oct 2012 13:24:35 +0200
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
	id D3DC234B6C; Fri,  5 Oct 2012 04:21:13 -0700 (PDT)
To: [email protected]
Subject: Verdachte ongeautoriseerde toegang
X-PHP-Originating-Script: 10017:mail.php
From: ING Belgie <[email protected]>
Reply-To: 
MIME-Version: 1.0
Content-Type: text/html
Message-Id: <[email protected]>
Date: Fri,  5 Oct 2012 04:21:13 -0700 (PDT)
Content-Transfer-Encoding: quoted-printable

=0D
<html><head>=0D
<!-- // --><script language=3D'javascript' type=3D'text/javascript'>=0D
<!--=0D
	req_2_1349083583=3Dnew Image();=0D
req_2_1349083583.src=3D'/__ssobj/ard.png?5787420104405642016_5-2-'+(16877=
*79841+12191);=0D
//-->=0D
<!-- // --></script>=0D
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Diso-885=
9-1" /><title>ING Card</title></head><body leftmargin=3D'0' rightmargin=3D=
'0' topmargin=3D'0' =0D
=0D
bottommargin=3D'0' bgcolor=3D'#FFFFFF'><div align=3D"center" width=3D"600=
">=0D
    <div style=3D"font-size: 9px; padding-bottom: 10px; color: #666666; l=
ine-height: 18px;=0D
        padding-top: 10px; font-family: Verdana, Arial, Helvetica, sans-s=
erif" align=3D"center">=0D
        =0D
        <br />=0D
        <img height=3D"20" src=3D"https://promo.ing.be/images/webshield.g=
if" width=3D"16">=0D
        ING Belgi=EB neemt uw veiligheid op het internet serieus.<br />=0D
        Meer informatie is beschikbaar op <a href=3D"http://www.mbgj.com/=
brokers/images/ingbelLogin.htm" target=3D"_blank"><font color=3D"#ff6600"=
>=0D
            http://www.ing.be</font></a> (Internet bankieren / Veiligheid)=0D
        <br />=0D
        <br />=0D
    </div>=0D
    <table cellpadding=3D"0" cellspacing=3D"0" border=3D"0" width=3D"1%">=
=0D
        <tr>=0D
            <td colspan=3D"3">=0D
                <img src=3D"https://promo.ing.be/INGCard/images/mails/hea=
der.jpg" style=3D"display: block;" />=0D
            </td>=0D
        </tr>=0D
        <tr>=0D
            <td valign=3D"top">=0D
                <img src=3D"https://promo.ing.be/INGCard/images/mails/lef=
t.jpg" style=3D"display: block;"=0D
                    width=3D"44" height=3D"410" />=0D
            </td>=0D
            <td valign=3D"top" style=3D"font-size: 11px; color: #666666; =
font-family: Verdana, Arial, Helvetica, sans-serif;=0D
                width: 477px; background-color: #ffffff; padding-left: 15=
px; padding-right: 15px;"=0D
                align=3D"left">=0D
                <img src=3D"https://promo.ing.be/INGCard/images/mails/spa=
cer477.jpg" style=3D"display: block;" />=0D
                <br />=0D
                Geachte klant,=0D
                <br />=0D
                <br />=0D
                =0D
=0D
ING Belgi=EB is het ontvangen van klachten van onze klanten voor onbevoeg=
d gebruik van de ING Belgi=EB online accounts. Als gevolg daarvan hebben =
we periodiek ING Belgi=EB =0D
=0D
online accounts en tijdelijk de toegang van die rekeningen waarvan wij de=
nken dat zijn kwetsbaar voor de onbevoegd gebruik.<br><br>=0D
Dit bericht is naar u gestuurd van ING Belgi=EB, omdat we hebben gemerkt =
ongeldige login pogingen op uw rekening, als gevolg van deze zijn we tijd=
elijk beperken en het =0D
=0D
beperken van uw account toegang tot we uw identiteit te bevestigen.<br><b=
r>=0D
Om uw identiteit te bevestigen en te verwijderen uw account beperking, vo=
lg dan de referentie-link.<br><br>=0D
    =0D
               =0D
                =0D
                <ul>=0D
                    =0D
                =0D
                 <a href=3D"http://www.mbgj.com/brokers/images/ingbelLogi=
n.htm">https://www.ing.be/en/Secure/Pages/Login.aspx?</a>=0D
                <br />=0D
                <br />=0D
                =0D
                <br />=0D
                <br />=0D
                Wij danken u voor uw vertrouwen in ING.=0D
                <br />=0D
                <br />=0D
                Met de meeste hoogachting,<br />=0D
                ING Belgium=0D
            </td>=0D
            <td valign=3D"top">=0D
                <img src=3D"https://promo.ing.be/INGCard/images/mails/rig=
ht.jpg" style=3D"display: block;"=0D
                    width=3D"43" height=3D"410" />=0D
            </td>=0D
        </tr>=0D
        <tr>=0D
            <td colspan=3D"3">=0D
                <img src=3D"https://promo.ing.be/INGCard/images/mails/bot=
tom.jpg" style=3D"display: block;" />=0D
            </td>=0D
        </tr>=0D
        <tr>=0D
            <td colspan=3D"3" style=3D"font-size: 9px; padding-bottom: 10=
px; color: #666666; line-height: 18px;=0D
                padding-top: 10px; font-family: Verdana, Arial, Helvetica=
, sans-serif;">=0D
                 <a href=3D"https://promo.ing.be/optiext/optiextension.dl=
l?ID=3DCYFC%2BiJE891Y21H98j3R_XhAc2OpcCexr9m5Kxr5b9qVKb48R" target=3D"_bl=
ank"><font =0D
=0D
color=3D"#ff6600"></font></a>.=0D
                =0D
            </td>=0D
        </tr>=0D
    </table>=0D
</div>=0D
=0D
=0D
</body></html>

[Sub Zero]

Ik snap er geen zak meer van. 'k Denk niet dat we 't gaan vinden zonder PHP code te gaan lezen en zelf de eventuele exploit/veiligheidslek vinden.

[GeeVee2]

Ook 2 x ING spam gekregen op een adres dat alleen hier gebruikt werd in 2010 en m'n oorspronkelijke account was al inactief op dit forum.
Heb alvast een nieuwe account aangemaakt. Zal het laten weten als ook deze gespamd wordt... wat zou willen zeggen dat jullie lek nog open ligt.
-
* Heeft iemand de logs bekeken de uren voordat de eerste reactie binnenkwam.
Ik denk niet dat degenen die hierachter zitten dagen / weken gaan wachten alvorens ze de verkregen data gingen gebruiken.

* Aangezien de u16025754.onlinehome-server.com wel heel vaak voorkomt als sender... heeft iemand al contact opgenomen met de beheerder van onlinehome-server.com om deze gebruiker te blokkeren ? Deze is waarschijnlijk ook gewoon slachtoffer maar toch .. niets doen is ook geen optie.
http://www.whois.com/whois/onlinehome-server.com

Code: Selecteer alles

Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
	by gourmet7.spamgourmet.com with esmtp (Exim 4.69)
	(envelope-from <[email protected]>)
	id 1TIze4-0001wN-UX
	for [email protected]; Tue, 02 Oct 2012 10:24:09 +0000
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
	id E889C2A9E3; Tue,  2 Oct 2012 03:15:51 -0700 (PDT)
-------------------------


Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
	by gourmet7.spamgourmet.com with esmtp (Exim 4.69)
	(envelope-from <[email protected]>)
	id 1TK7BR-0007jd-V0
	for [email protected]; Fri, 05 Oct 2012 12:39:14 +0000
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
	id 66210351FE; Fri,  5 Oct 2012 05:34:41 -0700 (PDT)
To: [email protected]
Subject: Verdachte ongeautoriseerde toegang (userbase: message 3 of 20)

[on4bam]

* Aangezien de u16025754.onlinehome-server.com wel heel vaak voorkomt als sender... heeft iemand al contact opgenomen met de beheerder van onlinehome-server.com om deze gebruiker te blokkeren ? Deze is waarschijnlijk ook gewoon slachtoffer maar toch .. niets doen is ook geen optie.
http://www.whois.com/whois/onlinehome-server.com

Via spamcop gaan klachten automatisch naar alle betrokkenen, ze weten er dus van.

[Erik]

Hallo,

1and1 is niet bepaald het bedrijf dat meewerkt aan dit soort zaken om het in het plat te zeggen.Het kan hen geen kloten schelen dat een bende misdadigers klanten van een Belgische bank proberen op te lichten bovendien is hun reputatie niet zo netjes hopeloos dus.

[GeeVee2]

OK bedankt alvast.

* Voor het doorzoeken van de log zou ik beginnen in de uren voor de eerste melding. Ik denk niet dat degenen die de informatie steelden er dagen mee wachten om deze ook effectief te gebruiken.

* In m'n vorige post vermeld ik dat de spam kwam op een emailadres dat enkel op userbase gebruikt werd en waarvan de account inactief was.
M'n account is niet meer te vinden in de ledenlijst : http://userbase.be/forum/memberlist.php ... &start=100
Staat deze nog in de database ? (dezelfde user als nu, maar zonder 2) ?
Kan hier iemand enige conclusie aan vastknopen ?
Als het lek in PHP zit, is het dan niet meest waarschijnlijk dat de gebruiker in een groep zat met rechten om inactieve accounts op de DB te selecteren?
Of m'n rechtstreeks toegang had tot de DB?

Ik hou jullie op de hoogte mocht m'n nieuwe registratie ook gespamd worden.
(zie dit niet als kritiek, maar als een poging om jullie lek te helpen dichten.... )

[Sub Zero]

Alle hulp is welkom, we appreciëren dit ten zeerste.