[phishing] "[FOD Justitie]: U heeft een nieuw bericht ontvangen"

Hier horen vragen over google, irc, nieuwsgroepen, e-mail enz....
Plaats reactie
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1204
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 64 keer
Bedankt: 99 keer

Ik ben zeer nipt niet in de val getrapt van een vrij overtuigende phising mail van Doccle <[email protected]>

Onderwerp: [FOD Justitie]: U heeft een nieuw bericht ontvangen

Inhoud:
Hallo!
Je hebt een nieuw bericht ontvangen van FOD Justitie:
Een nieuw document van eBox
Je hebt via Doccle een nieuw document van eBox ontvangen. Ga naar Doccle om met het document aan de slag te gaan.
FOD Financiën
Ga naar Doccle
Vriendelijke groeten,
Het Doccle Team

Resulterende URL: https://www-doccle-omgevingen-dashboard.site/doccle.php

Dat vraagt om in te loggen via ItsMe of via je bank. Dwaas die ik ben, heb ik geprobeerd in te loggen door in te loggen via mijn bank, enkel de M1-code ingevoerd. Daarna vroeg het voor kredietkaartgegevens en dat vond ik maar al te bizar. Toen daagde het mij dat de domeinnaam totaal niet klopt. Yikes!

Ik ben ingelogd op mijn homebanking en merk niks van gewijzigde rekeningstanden, wat volgens mij ook niet mogelijk is zonder M2-code, maar toch is het een degoutant gevoel dat men waarschijnlijk toch al is kunnen inloggen in onze homebankingomgeving. Brrr.

U weze gewaarschuwd.
Raketisch
Plus Member
Plus Member
Berichten: 122
Lid geworden op: 11 nov 2017, 15:57
Uitgedeelde bedankjes: 2 keer
Bedankt: 3 keer

Is er geen mogelijkheid dat men uw pincode kan achterhalen door de omgekeerde bewerking te maken met behulp van de ingevoerde M1 code?
Misschien de bank contacteren voor het zekerste.
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1204
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 64 keer
Bedankt: 99 keer

Contact opgenomen met bank, kaart is geblokkeerd en wordt vervangen, dus alle inlogpogingen of andere -pogingen met die kaart worden vanaf heden geweigerd.
Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 1899
Lid geworden op: 21 nov 2004, 20:05
Uitgedeelde bedankjes: 182 keer
Bedankt: 35 keer

Het idiote hieraan is dat wij zelfs al een boete langs online weg gehad hebben.
Was dus hier ook crepie, maar was wel juist :bang:
Tomby
Elite Poster
Elite Poster
Berichten: 5759
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1057 keer
Bedankt: 435 keer

Ja, ze beginnen meer en meer via je eBox op te sturen. Boetes dus ook.
Maar een eerste reflex zou altijd moeten zijn om de adressen te checken. @innno.email of een .site zou altijd een alarmbel moeten doen rinkelen.
En daarnaast natuurlijk gewoon zelf de URL van eBox gebruiken.
splinterbyte
Elite Poster
Elite Poster
Berichten: 1263
Lid geworden op: 16 jun 2006, 18:34
Locatie: Zuiderkempen
Uitgedeelde bedankjes: 125 keer
Bedankt: 52 keer

Ik krijg de laatste tijd ook veel van die phishing mails, enkele voorbeelden:

Subject: Een steun- en herstelpakket met tijdelijke financiële regelingen
From: my-ebox <[email protected]>

Subject: [FOD Justitie]: Je hebt een belangrijk ontvangen!
From: Doccle <[email protected]>

Subject: Een steun- en herstelpakket met tijdelijke financiële regelingen
From: itsme® <[email protected]>

Steeds vanaf vps-zapXXXXX.zap-srv.com servers en XXX.email adressen.
Ze maken de inhoud wel bijna echt uitzien, de logo png gaat zelfs naar de echte website, de links daarentegen gaan naar https://t.co/xxxxxx URLs.
Lijkt dat ze het twitter shortlink systeem misbruiken.

Ik forward ze telkens naar [email protected]
Gebruikersavatar
sandbert
Plus Member
Plus Member
Berichten: 160
Lid geworden op: 16 feb 2020, 21:10
Uitgedeelde bedankjes: 47 keer
Bedankt: 27 keer

JamesEarlGray schreef:U weze gewaarschuwd.
We moeten inderdaad altijd alert zijn voor dit soort criminele handelingen, dit kan dus niet genoeg benadrukt worden.
Helaas, onze alertheid wordt zeer dikwijls door sommige dagdagelijkse beslommeringen gehinderd waardoor het alarmbelletje niet, of veel te laat rinkelt!
Uw waarschuwing wordt hier dus in dank aanvaard. Ook dank voor het delen van deze toch wel gehaaide poging.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 67 keer
Bedankt: 397 keer

De hedendaagse phishing pest:

- fake mails dat mailbox vol zit

Malware pest:

- fake mails met orders
- fake betalingsbewijzen

Die zijn vlot te herkennen door de .rar of de .zip extenties, en omdat er in de mail nooit een verwijzing staat naar mijn product.
Er zijn er al die wetransfer gebruiken, erg ....
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1204
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 64 keer
Bedankt: 99 keer

Tomby schreef:Maar een eerste reflex zou altijd moeten zijn om de adressen te checken. @innno.email of een .site zou altijd een alarmbel moeten doen rinkelen.
Ja, dat dácht ik ook, "onnozelaars, wie trapt daar nu in".

Maar wegens de stress de boete zo snel mogelijk te willen kunnen lezen gewoon heb ik maar geklikt en gedaan, zonder op te letten dat het vals was.
splinterbyte schreef:Steeds vanaf vps-zapXXXXX.zap-srv.com servers en XXX.email adressen.
Inderdaad:

Code: Selecteer alles

Received: from mta1.innno.email (vps-zap789499-5.zap-srv.com [88.214.58.36])
	by mailpod01.zxcs.nl (Postfix) with ESMTPS id 19AC680089
Wat ik ondertussen heb veranderd: zowel in mijn e-mail client op Android als op de computer toon ik nu enkel het e-mailadres zelf ipv de zogezegde naam (die ze zelf kunnen kiezen). In Thunderbird is er ook een add-on die énkel de domeinnaam van de verzender apart in een kolom toont, zo is het iets duidelijker wanneer ik de volgende keer zo'n e-mailbericht ontvang.
Quid pro quo
Member
Member
Berichten: 99
Lid geworden op: 22 feb 2011, 23:09
Uitgedeelde bedankjes: 13 keer
Bedankt: 61 keer

Heb ook 2 boetes gehad via ebox op een week tijd, betrouwde het niet direct dus maar ingelogd manueel via ebox url

Helaas pindakaas was het echt :twisted:
kamiel
Elite Poster
Elite Poster
Berichten: 870
Lid geworden op: 18 jun 2012, 19:58
Uitgedeelde bedankjes: 156 keer
Bedankt: 40 keer

Kan de overheid niet alles wat met overheid te maken heeft via 1 URL doen. En op die pagina dan met links werken?
Nu vind ik het heel verwarrend. Hoe kan je nog weten of iets Al dan niet echt is...
Internet: EDPnet VDSL XS met Fritzbox 7360 als modem en router
VOIP: EDPnet (inkomend), Freevoipdeal (uitgaand) via C510IP
GSM: EDPnet (met Xiaomi Redmi)
GuntherDW
Elite Poster
Elite Poster
Berichten: 1139
Lid geworden op: 11 mei 2007, 14:00
Locatie: zwijndrecht
Uitgedeelde bedankjes: 12 keer
Bedankt: 78 keer
Contacteer:

Ik heb de voorbije week wel een vrij nieuwe vorm van phishing gekregen op m'n email adres eigenlijk... (at least voor mij)

Ik kreeg opeens een mailtje dat er een account bij een legitiem bedrijf aangemaakt was met mijn email adres, namelijk royal-mail.

Ik dus moeite gedaan om te kijken wie dat geregistreerd had, mijn email is al een paar keer gelekt dus dacht "zal wel iemand geweest zijn die lukraak uit een lijst gesnokt heeft ofzo".
Daarna dus mijn account daar geschrapt na een "recover password" te doen.
Geen paar uur later opeens opnieuw een "thanks for registering an account "blablabla... Zelfde email, zelfde (fake) naam, adres etc.

Ik dus opnieuw die account gaan deleten, met het gedacht "als het nog voorvalt licht ik hun wel even in ofzo. Beetje later krijg ik opeens mail "er wacht een pakketje op je maar voordat je meer info krijgt moet je eerst kosten betalen van 2.99£ *link* :lol: .

Met leuke knop in het midden "Complete your inforamtions" (ja met die typo er letterlijk in) en de mail kwam van een random gmail adres deze keer. Al gebruikten ze hier ook weer een legitieme service om de URL/service te cloaken natuurlijk. Maar het was dus gewoon simpelweg om de spamfilters om de tuin te proberen leiden :P

Die vorm heb ik nog niet gehad moet ik eerlijk zeggen. Leek bijna op spearphishing eerst.
splinterbyte
Elite Poster
Elite Poster
Berichten: 1263
Lid geworden op: 16 jun 2006, 18:34
Locatie: Zuiderkempen
Uitgedeelde bedankjes: 125 keer
Bedankt: 52 keer

kamiel schreef:Kan de overheid niet alles wat met overheid te maken heeft via 1 URL doen...
Was ik me pas ook aan het afvragen. In plaats daarvan hebben we nu allerlei sites zoals:

myebox.be
mijngezondheid.be
burgerprofiel.be
taxonweb.be
mypension.be
etc..

waar je telkens maar een stukje van jezelf kan beheren bij de overheid...
Gebruikersavatar
silentkiller
Pro Member
Pro Member
Berichten: 297
Lid geworden op: 24 jun 2008, 15:36
Locatie: Limburg
Uitgedeelde bedankjes: 17 keer
Bedankt: 26 keer

Ik stuur de phising mails ook altijd door naar [email protected]
Hier kan je zien wat ze ermee doen. For what it’s worth..
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1204
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 64 keer
Bedankt: 99 keer

splinterbyte schreef:In plaats daarvan hebben we nu allerlei sites zoals:
Voeg Doccle daar ook maar aan toe. :twisted:
silentkiller schreef:Ik stuur de phising mails ook altijd door naar [email protected]
Hier kan je zien wat ze ermee doen. For what it’s worth..
Bedankt, doe ik meteen! Ik had de mail al doorgestuurd naar de anti-phishing-dienst van mijn bank, maar dit heeft misschien een bredere weerslag.
stevenvs
Plus Member
Plus Member
Berichten: 125
Lid geworden op: 03 feb 2013, 19:39
Uitgedeelde bedankjes: 3 keer
Bedankt: 11 keer

Deze week een phishing mail gekregen zogezegd verzonden door 4411

Denk dat dit wel eentje is waar ook veel mensen voor gaan vallen.
jphermans
Elite Poster
Elite Poster
Berichten: 834
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 116 keer
Bedankt: 102 keer

En wat schrijven ze dan ?


Sent from my iPhone using Tapatalk Pro
Internet via EDPNET & Telenet Fiber 300
TV via Plex plugin xteve IPTV & Kodi
IPTV via different providers.
Telefonie via Edpnet(incoming) en Easycall (outgoing)
Gebruikersavatar
WalterB1
Elite Poster
Elite Poster
Berichten: 1890
Lid geworden op: 22 jan 2010, 18:59
Uitgedeelde bedankjes: 150 keer
Bedankt: 133 keer

Dat er zoveel gezondheidsplatformen zijn heeft wel zijn redenen. Er zijn professionele platformen voor gezondheidswerkers. Er is een vereenvoudigde interface via https://www.myhealthviewer.be . Een meer volledige website en portaal via mijngezondheid.be dat op op een subdomein van belgie.be staat. Er zijn ook diverse commeriële, private gezondheidsplatformen, zoals COZO.

Burgerprofiel is specifiek Vlaams en niet echt een volwaardig e-loket maar meer een koepelwebsite om data van andere e-lokketten te raadplegen.

Maar er zijn echt wel domme beslissingen. Zo staat de federale ebox op https://myebox.be Dat die domein er is dat is prima. Maar dat zou op *.fgov.be of *.belgium.be moeten staan.

Bijna alles van Vlaanderen staat op *.vlaanderen.be , behalve Sport Vlaanderen (ex-BLOSO) die zowat de enige zijn die de TLD .vlaanderen gebruiken. Dat is duidelijk.

Ik heb gisteren nog een e-mail tegengekomen van een politie-inspecteur. Die zijn e-mailadres staat op de domein. @police.belgium.eu Wat natuurlijk mijn eerste reflex was; euh? .EU ? En na een kleine controle; ja, het is legitiem. Maar wat voor een gedacht was dat nu weer. Dat is alsof men het er express om doet om verdacht over te komen.

Alle federale websites zouden op één bepaalde domein moeten staan. *.fgov.be zou ik denken. Anders is het weer gezeur over taal als het een België-variant is.

Met een gemakkelijke domeinnaam die doorverwijst. Dat is elementair om het gemakkelijker te maken voor de burger om het verschil te zien tussen een echte website en een valse.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 67 keer
Bedankt: 397 keer

Als mijn kenteken en de overtreding niet in de email zelf staat, shift delete

Hier nog zo'n ebox nepmail:
Bijlagen
ebox-scum.png
stevenvs
Plus Member
Plus Member
Berichten: 125
Lid geworden op: 03 feb 2013, 19:39
Uitgedeelde bedankjes: 3 keer
Bedankt: 11 keer

jphermans schreef:En wat schrijven ze dan ?


Sent from my iPhone using Tapatalk Pro
Onderstaand is de email.
De 4411.io link in de mail gaat naar de phishing website.


Beste klant,

Graag willen wij u eraan herinneren dat uw klantenrekening een openstaand bedrag van 13,20 EUR vertoont.

Wellicht is het afschrift aan uw aandacht ontsnapt.

Vriendelijk verzoeken wij u de betaling uit te voeren voor 22/8/2021 via onze website of de 4411 applicatie.

Wenst u een duidelijk overzicht van uw openstaande factuur? Surf naar mijn.4411.io en meld u aan. Uw openstaande rekening kan ook bekeken worden via de 4411 applicatie onder ‘afschriften’.

U kunt tevens uw betaalmethode wijzigen via mijn.4411.io of de 4411 applicatie.


Met vriendelijke groet,

4411
Customer Service

© Be-Mobile NV. Kardinaal Mercierlaan 1A, 9090 Melle | Tel. +3278 05 44 11
Gebruikersavatar
Data technicus
Pro Member
Pro Member
Berichten: 394
Lid geworden op: 21 mei 2020, 14:39
Locatie: Spalbeek (Hasselt)
Uitgedeelde bedankjes: 2 keer
Bedankt: 43 keer

stevenvs schreef:
jphermans schreef:En wat schrijven ze dan ?


Sent from my iPhone using Tapatalk Pro
Onderstaand is de email.
De 4411.io link in de mail gaat naar de phishing website.


Beste klant,

Graag willen wij u eraan herinneren dat uw klantenrekening een openstaand bedrag van 13,20 EUR vertoont.

Wellicht is het afschrift aan uw aandacht ontsnapt.

Vriendelijk verzoeken wij u de betaling uit te voeren voor 22/8/2021 via onze website of de 4411 applicatie.

Wenst u een duidelijk overzicht van uw openstaande factuur? Surf naar mijn.4411.io en meld u aan. Uw openstaande rekening kan ook bekeken worden via de 4411 applicatie onder ‘afschriften’.

U kunt tevens uw betaalmethode wijzigen via mijn.4411.io of de 4411 applicatie.


Met vriendelijke groet,

4411
Customer Service

© Be-Mobile NV. Kardinaal Mercierlaan 1A, 9090 Melle | Tel. +3278 05 44 11
Dit lijkt wel een echte mail van 4411 hoor want het adres van 4411 is https://mijn.4411.io/nl/login . Als de mail afkomstig is van [email protected] is dit een echte mail hoor.
jphermans
Elite Poster
Elite Poster
Berichten: 834
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 116 keer
Bedankt: 102 keer

Misschien eens contact opnemen met 4411 en dan vragen of de referentie klopt.
Internet via EDPNET & Telenet Fiber 300
TV via Plex plugin xteve IPTV & Kodi
IPTV via different providers.
Telefonie via Edpnet(incoming) en Easycall (outgoing)
stevenvs
Plus Member
Plus Member
Berichten: 125
Lid geworden op: 03 feb 2013, 19:39
Uitgedeelde bedankjes: 3 keer
Bedankt: 11 keer

Ik gebruik 4411 niet, dus heb geen account daar :lol:
En zoals ik al poste de link die gekoppeld is aan mijn 4411.io verwijst zelfs niet eens naar hun website
jphermans
Elite Poster
Elite Poster
Berichten: 834
Lid geworden op: 31 aug 2009, 15:28
Locatie: Aalst
Uitgedeelde bedankjes: 116 keer
Bedankt: 102 keer

stevenvs schreef:Ik gebruik 4411 niet, dus heb geen account daar
Dat veranderd uiteraard de zaak, dan is het zeker phishing.


Sent from my iPhone using Tapatalk Pro
Internet via EDPNET & Telenet Fiber 300
TV via Plex plugin xteve IPTV & Kodi
IPTV via different providers.
Telefonie via Edpnet(incoming) en Easycall (outgoing)
Gebruikersavatar
Data technicus
Pro Member
Pro Member
Berichten: 394
Lid geworden op: 21 mei 2020, 14:39
Locatie: Spalbeek (Hasselt)
Uitgedeelde bedankjes: 2 keer
Bedankt: 43 keer

stevenvs schreef:Ik gebruik 4411 niet, dus heb geen account daar :lol:
En zoals ik al poste de link die gekoppeld is aan mijn 4411.io verwijst zelfs niet eens naar hun website
De links in hun mails zien er zo uit zie bijlage.
Dit lijkt ook niet naar hun site te wijzen maar is wel een goede link.
Bijlagen
2021-08-22 09_55_32-1.png
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1204
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 64 keer
Bedankt: 99 keer

Ze hebben écht hun best niet gedaan om de URL er legitiem te laten uitzien.
Gebruikersavatar
WalterB1
Elite Poster
Elite Poster
Berichten: 1890
Lid geworden op: 22 jan 2010, 18:59
Uitgedeelde bedankjes: 150 keer
Bedankt: 133 keer

In die oplichtingsmails gooien ze vaak ook Vlaamse en federale bevoegdheden door elkaar. Wat wel handig is om snel in te schatten of een mail legitiem is als mensen bellen om te vragen of dat bericht echt is.
Gebruikersavatar
JamesEarlGray
Elite Poster
Elite Poster
Berichten: 1204
Lid geworden op: 24 aug 2017, 13:04
Uitgedeelde bedankjes: 64 keer
Bedankt: 99 keer

Maar dan ga je er weer van uit dat mensen hun tijd nemen om die mail eerst te bestuderen ipv gewoon door te klikken om ervan af te willen zijn. Ik weet héél goed dat je dat altijd eerst moet doen, en toch ben ik erin gelopen. Ik vertrouw mijzelf dus niet, en bij uitbreiding ook veel anderen mensen niet.
boonpwnz
Elite Poster
Elite Poster
Berichten: 4357
Lid geworden op: 05 jul 2017, 09:50
Uitgedeelde bedankjes: 74 keer
Bedankt: 100 keer

Ik vind het vooral vreemd dat ik deze mails nauwelijks ontvang. Bedoel op mijn microsoft account kom ik die ook nooit tegen terwijl daar om het uur iemand probeert in te loggen van een land wereldwijd. En dat email is bekend uit meer dan 10 lekken.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 67 keer
Bedankt: 397 keer

Hup weer een fake mail met deze gevaarlijke url:


https://t.co/hGF7Nd6eh9

en afzender
[email protected]


Federale Overheidsdienst Financiën




Mevrouw, Mijnheer,

Uw belastingaangifte of voorstel van vereenvoudigde aangifte is online beschikbaar.
> Raadpleeg het vanaf nu in MyMinfin (Tax-on-web)




Bizar dat de FOD niet weet of ik een dame of heer ben ;)

En uiteraard is de smoking gun het feit dat de diverse links allemaal naar dezelfde URL wijzen:
ebox-scum-fake-links.png
# curl -v https://t.co/hGF7Nd6eh9
...
< HTTP/1.1 301 Moved Permanently
< date: Sun, 22 Aug 2021 12:01:57 GMT
< vary: Origin
* Server tsa_f is not blacklisted
< server: tsa_f
< expires: Sun, 22 Aug 2021 12:06:57 GMT
< location: https://short-me.me/PI2uP
...
redirect naar https://short-me.me/PI2uP
redirect naar https://www-myminfin-dashboard.site/myminfin.php

Zoals je kan zien is dat geen officiële site ...

De scammers gebruiken zelfs cloudflare:

https://reqbin.com/curl
daarin commando
curl https://www-myminfin-dashboard.site/myminfin.php

en dat geeft dan weer als fout terug:

<title>Access denied | www-myminfin-dashboard.site used Cloudflare to restrict access</title>

De scammer lamleggen zal niet triviaal zijn. Het feit dat ze een dubbele redirect gebruiken & cloudflare ...
En als je klacht neerlegt bij cloudflare verwittigen ze zijn webhoster, daar ben je niks mee - cloudflare moet dit gespuis blocken.
stevenvs
Plus Member
Plus Member
Berichten: 125
Lid geworden op: 03 feb 2013, 19:39
Uitgedeelde bedankjes: 3 keer
Bedankt: 11 keer

Data technicus schreef:
De links in hun mails zien er zo uit zie bijlage.
Dit lijkt ook niet naar hun site te wijzen maar is wel een goede link.

Dit is de link in de mail

https://aar.pm/mijn-4411?upn=qXG17SHE-2 ... 2Fz0FLM-3D

Zoals je kan zien die verwijst die naar aar.pm een URL shortner.
Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 13045
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 433 keer
Bedankt: 856 keer

Ik heb nog geen dag werkloos geweest en al 10+ jaar bij mijn huidige werkgever. Kreeg ik plots een bericht van de VDAB.
Huh, wat? VDAB?

Dat moet phishing zijn.
Afbeelding

Toch maar eens aangelogd bij VDAB (kan blijkbaar viat Itsme)
Afbeelding

Dus toch geen phishing.

En warempel, er staan vanalles ingevuld bij "Profiel - Studieverleden".
Zelfs mijn opleiding elektriciteit in avondonderwijs :).

Nog nooit gehoord van "LED"...
DarkV
Elite Poster
Elite Poster
Berichten: 2798
Lid geworden op: 17 apr 2019, 11:47
Uitgedeelde bedankjes: 88 keer
Bedankt: 112 keer

JamesEarlGray schreef:Dat vraagt om in te loggen via ItsMe
ItsMe phishing is de laatste tijd ook erg in trek... afgelopen week nog drie phishing mails gehad.
Plaats reactie

Terug naar “Algemeen Internet-Gebruik”