[phishing] "[FOD Justitie]: U heeft een nieuw bericht ontvangen"

[JamesEarlGray]

Ik ben zeer nipt niet in de val getrapt van een vrij overtuigende phising mail van Doccle <[email protected]>

Onderwerp: [FOD Justitie]: U heeft een nieuw bericht ontvangen

Inhoud:
Hallo!
Je hebt een nieuw bericht ontvangen van FOD Justitie:
Een nieuw document van eBox
Je hebt via Doccle een nieuw document van eBox ontvangen. Ga naar Doccle om met het document aan de slag te gaan.
FOD Financiën
Ga naar Doccle
Vriendelijke groeten,
Het Doccle Team

Resulterende URL: https://www-doccle-omgevingen-dashboard.site/doccle.php

Dat vraagt om in te loggen via ItsMe of via je bank. Dwaas die ik ben, heb ik geprobeerd in te loggen door in te loggen via mijn bank, enkel de M1-code ingevoerd. Daarna vroeg het voor kredietkaartgegevens en dat vond ik maar al te bizar. Toen daagde het mij dat de domeinnaam totaal niet klopt. Yikes!

Ik ben ingelogd op mijn homebanking en merk niks van gewijzigde rekeningstanden, wat volgens mij ook niet mogelijk is zonder M2-code, maar toch is het een degoutant gevoel dat men waarschijnlijk toch al is kunnen inloggen in onze homebankingomgeving. Brrr.

U weze gewaarschuwd.

[Raketisch]

Is er geen mogelijkheid dat men uw pincode kan achterhalen door de omgekeerde bewerking te maken met behulp van de ingevoerde M1 code?
Misschien de bank contacteren voor het zekerste.

[JamesEarlGray]

Contact opgenomen met bank, kaart is geblokkeerd en wordt vervangen, dus alle inlogpogingen of andere -pogingen met die kaart worden vanaf heden geweigerd.

[svermassen]

Het idiote hieraan is dat wij zelfs al een boete langs online weg gehad hebben.
Was dus hier ook crepie, maar was wel juist

[Tomby]

Ja, ze beginnen meer en meer via je eBox op te sturen. Boetes dus ook.
Maar een eerste reflex zou altijd moeten zijn om de adressen te checken. @innno.email of een .site zou altijd een alarmbel moeten doen rinkelen.
En daarnaast natuurlijk gewoon zelf de URL van eBox gebruiken.

[splinterbyte]

Ik krijg de laatste tijd ook veel van die phishing mails, enkele voorbeelden:

Subject: Een steun- en herstelpakket met tijdelijke financiële regelingen
From: my-ebox <[email protected]>

Subject: [FOD Justitie]: Je hebt een belangrijk ontvangen!
From: Doccle <[email protected]>

Subject: Een steun- en herstelpakket met tijdelijke financiële regelingen
From: itsme® <[email protected]>

Steeds vanaf vps-zapXXXXX.zap-srv.com servers en XXX.email adressen.
Ze maken de inhoud wel bijna echt uitzien, de logo png gaat zelfs naar de echte website, de links daarentegen gaan naar https://t.co/xxxxxx URLs.
Lijkt dat ze het twitter shortlink systeem misbruiken.

Ik forward ze telkens naar [email protected]

[sandbert]

U weze gewaarschuwd.

We moeten inderdaad altijd alert zijn voor dit soort criminele handelingen, dit kan dus niet genoeg benadrukt worden.
Helaas, onze alertheid wordt zeer dikwijls door sommige dagdagelijkse beslommeringen gehinderd waardoor het alarmbelletje niet, of veel te laat rinkelt!
Uw waarschuwing wordt hier dus in dank aanvaard. Ook dank voor het delen van deze toch wel gehaaide poging.

[ubremoved_2964]

De hedendaagse phishing pest:

- fake mails dat mailbox vol zit

Malware pest:

- fake mails met orders
- fake betalingsbewijzen

Die zijn vlot te herkennen door de .rar of de .zip extenties, en omdat er in de mail nooit een verwijzing staat naar mijn product.
Er zijn er al die wetransfer gebruiken, erg ....

[JamesEarlGray]

Maar een eerste reflex zou altijd moeten zijn om de adressen te checken. @innno.email of een .site zou altijd een alarmbel moeten doen rinkelen.

Ja, dat dácht ik ook, "onnozelaars, wie trapt daar nu in".

Maar wegens de stress de boete zo snel mogelijk te willen kunnen lezen gewoon heb ik maar geklikt en gedaan, zonder op te letten dat het vals was.

Steeds vanaf vps-zapXXXXX.zap-srv.com servers en XXX.email adressen.

Inderdaad:

Code: Selecteer alles

Received: from mta1.innno.email (vps-zap789499-5.zap-srv.com [88.214.58.36])
	by mailpod01.zxcs.nl (Postfix) with ESMTPS id 19AC680089

Wat ik ondertussen heb veranderd: zowel in mijn e-mail client op Android als op de computer toon ik nu enkel het e-mailadres zelf ipv de zogezegde naam (die ze zelf kunnen kiezen). In Thunderbird is er ook een add-on die énkel de domeinnaam van de verzender apart in een kolom toont, zo is het iets duidelijker wanneer ik de volgende keer zo'n e-mailbericht ontvang.

[Quid pro quo]

Heb ook 2 boetes gehad via ebox op een week tijd, betrouwde het niet direct dus maar ingelogd manueel via ebox url

Helaas pindakaas was het echt

[kamiel]

Kan de overheid niet alles wat met overheid te maken heeft via 1 URL doen. En op die pagina dan met links werken?
Nu vind ik het heel verwarrend. Hoe kan je nog weten of iets Al dan niet echt is...

[GuntherDW]

Ik heb de voorbije week wel een vrij nieuwe vorm van phishing gekregen op m'n email adres eigenlijk... (at least voor mij)

Ik kreeg opeens een mailtje dat er een account bij een legitiem bedrijf aangemaakt was met mijn email adres, namelijk royal-mail.

Ik dus moeite gedaan om te kijken wie dat geregistreerd had, mijn email is al een paar keer gelekt dus dacht "zal wel iemand geweest zijn die lukraak uit een lijst gesnokt heeft ofzo".
Daarna dus mijn account daar geschrapt na een "recover password" te doen.
Geen paar uur later opeens opnieuw een "thanks for registering an account "blablabla... Zelfde email, zelfde (fake) naam, adres etc.

Ik dus opnieuw die account gaan deleten, met het gedacht "als het nog voorvalt licht ik hun wel even in ofzo. Beetje later krijg ik opeens mail "er wacht een pakketje op je maar voordat je meer info krijgt moet je eerst kosten betalen van 2.99£ *link* .

Met leuke knop in het midden "Complete your inforamtions" (ja met die typo er letterlijk in) en de mail kwam van een random gmail adres deze keer. Al gebruikten ze hier ook weer een legitieme service om de URL/service te cloaken natuurlijk. Maar het was dus gewoon simpelweg om de spamfilters om de tuin te proberen leiden

Die vorm heb ik nog niet gehad moet ik eerlijk zeggen. Leek bijna op spearphishing eerst.

[splinterbyte]

Kan de overheid niet alles wat met overheid te maken heeft via 1 URL doen...

Was ik me pas ook aan het afvragen. In plaats daarvan hebben we nu allerlei sites zoals:

myebox.be
mijngezondheid.be
burgerprofiel.be
taxonweb.be
mypension.be
etc..

waar je telkens maar een stukje van jezelf kan beheren bij de overheid...

[silentkiller]

Ik stuur de phising mails ook altijd door naar [email protected]
Hier kan je zien wat ze ermee doen. For what it’s worth..

[JamesEarlGray]

In plaats daarvan hebben we nu allerlei sites zoals:

Voeg Doccle daar ook maar aan toe.

Ik stuur de phising mails ook altijd door naar [email protected]
Hier kan je zien wat ze ermee doen. For what it’s worth..

Bedankt, doe ik meteen! Ik had de mail al doorgestuurd naar de anti-phishing-dienst van mijn bank, maar dit heeft misschien een bredere weerslag.

[stevenvs]

Deze week een phishing mail gekregen zogezegd verzonden door 4411

Denk dat dit wel eentje is waar ook veel mensen voor gaan vallen.

[jphermans]

En wat schrijven ze dan ?


Sent from my iPhone using Tapatalk Pro

[WalterB1]

Dat er zoveel gezondheidsplatformen zijn heeft wel zijn redenen. Er zijn professionele platformen voor gezondheidswerkers. Er is een vereenvoudigde interface via https://www.myhealthviewer.be . Een meer volledige website en portaal via mijngezondheid.be dat op op een subdomein van belgie.be staat. Er zijn ook diverse commeriële, private gezondheidsplatformen, zoals COZO.

Burgerprofiel is specifiek Vlaams en niet echt een volwaardig e-loket maar meer een koepelwebsite om data van andere e-lokketten te raadplegen.

Maar er zijn echt wel domme beslissingen. Zo staat de federale ebox op https://myebox.be Dat die domein er is dat is prima. Maar dat zou op *.fgov.be of *.belgium.be moeten staan.

Bijna alles van Vlaanderen staat op *.vlaanderen.be , behalve Sport Vlaanderen (ex-BLOSO) die zowat de enige zijn die de TLD .vlaanderen gebruiken. Dat is duidelijk.

Ik heb gisteren nog een e-mail tegengekomen van een politie-inspecteur. Die zijn e-mailadres staat op de domein. @police.belgium.eu Wat natuurlijk mijn eerste reflex was; euh? .EU ? En na een kleine controle; ja, het is legitiem. Maar wat voor een gedacht was dat nu weer. Dat is alsof men het er express om doet om verdacht over te komen.

Alle federale websites zouden op één bepaalde domein moeten staan. *.fgov.be zou ik denken. Anders is het weer gezeur over taal als het een België-variant is.

Met een gemakkelijke domeinnaam die doorverwijst. Dat is elementair om het gemakkelijker te maken voor de burger om het verschil te zien tussen een echte website en een valse.

[ubremoved_2964]

Als mijn kenteken en de overtreding niet in de email zelf staat, shift delete

Hier nog zo'n ebox nepmail:

[stevenvs]

En wat schrijven ze dan ?


Sent from my iPhone using Tapatalk Pro

Onderstaand is de email.
De 4411.io link in de mail gaat naar de phishing website.


Beste klant,

Graag willen wij u eraan herinneren dat uw klantenrekening een openstaand bedrag van 13,20 EUR vertoont.

Wellicht is het afschrift aan uw aandacht ontsnapt.

Vriendelijk verzoeken wij u de betaling uit te voeren voor 22/8/2021 via onze website of de 4411 applicatie.

Wenst u een duidelijk overzicht van uw openstaande factuur? Surf naar mijn.4411.io en meld u aan. Uw openstaande rekening kan ook bekeken worden via de 4411 applicatie onder ‘afschriften’.

U kunt tevens uw betaalmethode wijzigen via mijn.4411.io of de 4411 applicatie.


Met vriendelijke groet,

4411
Customer Service

© Be-Mobile NV. Kardinaal Mercierlaan 1A, 9090 Melle | Tel. +3278 05 44 11

[Data technicus]

En wat schrijven ze dan ?


Sent from my iPhone using Tapatalk Pro

Onderstaand is de email.
De 4411.io link in de mail gaat naar de phishing website.


Beste klant,

Graag willen wij u eraan herinneren dat uw klantenrekening een openstaand bedrag van 13,20 EUR vertoont.

Wellicht is het afschrift aan uw aandacht ontsnapt.

Vriendelijk verzoeken wij u de betaling uit te voeren voor 22/8/2021 via onze website of de 4411 applicatie.

Wenst u een duidelijk overzicht van uw openstaande factuur? Surf naar mijn.4411.io en meld u aan. Uw openstaande rekening kan ook bekeken worden via de 4411 applicatie onder ‘afschriften’.

U kunt tevens uw betaalmethode wijzigen via mijn.4411.io of de 4411 applicatie.


Met vriendelijke groet,

4411
Customer Service

© Be-Mobile NV. Kardinaal Mercierlaan 1A, 9090 Melle | Tel. +3278 05 44 11

Dit lijkt wel een echte mail van 4411 hoor want het adres van 4411 is https://mijn.4411.io/nl/login . Als de mail afkomstig is van [email protected] is dit een echte mail hoor.

[jphermans]

Misschien eens contact opnemen met 4411 en dan vragen of de referentie klopt.

[stevenvs]

Ik gebruik 4411 niet, dus heb geen account daar
En zoals ik al poste de link die gekoppeld is aan mijn 4411.io verwijst zelfs niet eens naar hun website

[jphermans]

Ik gebruik 4411 niet, dus heb geen account daar

Dat veranderd uiteraard de zaak, dan is het zeker phishing.


Sent from my iPhone using Tapatalk Pro

[Data technicus]

Ik gebruik 4411 niet, dus heb geen account daar
En zoals ik al poste de link die gekoppeld is aan mijn 4411.io verwijst zelfs niet eens naar hun website

De links in hun mails zien er zo uit zie bijlage.
Dit lijkt ook niet naar hun site te wijzen maar is wel een goede link.

[JamesEarlGray]

Ze hebben écht hun best niet gedaan om de URL er legitiem te laten uitzien.

[WalterB1]

In die oplichtingsmails gooien ze vaak ook Vlaamse en federale bevoegdheden door elkaar. Wat wel handig is om snel in te schatten of een mail legitiem is als mensen bellen om te vragen of dat bericht echt is.

[JamesEarlGray]

Maar dan ga je er weer van uit dat mensen hun tijd nemen om die mail eerst te bestuderen ipv gewoon door te klikken om ervan af te willen zijn. Ik weet héél goed dat je dat altijd eerst moet doen, en toch ben ik erin gelopen. Ik vertrouw mijzelf dus niet, en bij uitbreiding ook veel anderen mensen niet.

[boonpwnz]

Ik vind het vooral vreemd dat ik deze mails nauwelijks ontvang. Bedoel op mijn microsoft account kom ik die ook nooit tegen terwijl daar om het uur iemand probeert in te loggen van een land wereldwijd. En dat email is bekend uit meer dan 10 lekken.

[ubremoved_2964]

Hup weer een fake mail met deze gevaarlijke url:


https://t.co/hGF7Nd6eh9

en afzender
[email protected]


Federale Overheidsdienst Financiën




Mevrouw, Mijnheer,

Uw belastingaangifte of voorstel van vereenvoudigde aangifte is online beschikbaar.
> Raadpleeg het vanaf nu in MyMinfin (Tax-on-web)




Bizar dat de FOD niet weet of ik een dame of heer ben

En uiteraard is de smoking gun het feit dat de diverse links allemaal naar dezelfde URL wijzen:

# curl -v https://t.co/hGF7Nd6eh9
...
< HTTP/1.1 301 Moved Permanently
< date: Sun, 22 Aug 2021 12:01:57 GMT
< vary: Origin
* Server tsa_f is not blacklisted
< server: tsa_f
< expires: Sun, 22 Aug 2021 12:06:57 GMT
< location: https://short-me.me/PI2uP
...

redirect naar https://short-me.me/PI2uP
redirect naar https://www-myminfin-dashboard.site/myminfin.php

Zoals je kan zien is dat geen officiële site ...

De scammers gebruiken zelfs cloudflare:

https://reqbin.com/curl
daarin commando
curl https://www-myminfin-dashboard.site/myminfin.php

en dat geeft dan weer als fout terug:

<title>Access denied | www-myminfin-dashboard.site used Cloudflare to restrict access</title>

De scammer lamleggen zal niet triviaal zijn. Het feit dat ze een dubbele redirect gebruiken & cloudflare ...
En als je klacht neerlegt bij cloudflare verwittigen ze zijn webhoster, daar ben je niks mee - cloudflare moet dit gespuis blocken.

[stevenvs]

De links in hun mails zien er zo uit zie bijlage.
Dit lijkt ook niet naar hun site te wijzen maar is wel een goede link.

Dit is de link in de mail

https://aar.pm/mijn-4411?upn=qXG17SHE-2 ... 2Fz0FLM-3D

Zoals je kan zien die verwijst die naar aar.pm een URL shortner.

[heist_175]

Ik heb nog geen dag werkloos geweest en al 10+ jaar bij mijn huidige werkgever. Kreeg ik plots een bericht van de VDAB.
Huh, wat? VDAB?

Dat moet phishing zijn.


Toch maar eens aangelogd bij VDAB (kan blijkbaar viat Itsme)


Dus toch geen phishing.

En warempel, er staan vanalles ingevuld bij "Profiel - Studieverleden".
Zelfs mijn opleiding elektriciteit in avondonderwijs .

Nog nooit gehoord van "LED"...

[DarkV]

Dat vraagt om in te loggen via ItsMe

ItsMe phishing is de laatste tijd ook erg in trek... afgelopen week nog drie phishing mails gehad.