Home Verhalen Uitleg Archief

ASN Bank phishing juni 2018

Phishing is nog steeds een winstgevende business voor criminelen. Zojuist kreeg ik een mail van de ASN Bank, of wat op de ASN Bank moet lijken. In tegenstelling tot een eerdere e-mail van de Rabobank was deze mail niet echt geloofwaardig, de opmaak was erg slecht, ik moest hem in een ander scherm openen om hem goed te kunnen zien.

Ook bij dit e-mailtje ben ik weer op onderzoek uitgegaan of er iets interessants te vinden is en.

De mail lijkt verstuurd te zijn vanaf een adres:

From: ASN Bank <jgalapon@chiesavaldese.org>
Return-Path: <jgalapon@chiesavaldese.org>
Envelope-From: jgalapon@chiesavaldese.org
Reply-To: noreply@asnbank.nl
Mail-Reply-To: noreply@asnbank.nl

Als ik de headers van de e-mail bekijk, zie ik dat het vanaf een webmailserver verstuurd is webmail.chiesavaldese.org. Dat is al sowieso geen mailserver van de ASN Bank. Daarnaast is het email adres van de afzender ook geen adres van de ASN Bank.

webmail.chiesavaldese.org
mail.chiesavaldese.org 136.243.244.58
relay.logx.it 144.76.44.158 

De domeinnaam heeft in zijn DNS wel wat beveiligingsmaatregelingen getroffen om spoofing te kunnen voorkomen. Maar mogelijk is er een account gehackt of is er gebruik gemaakt van een beveiligingslek.

# SPF Record
chiesavaldese.or
# DMARC Record
_dmarc.chiesavaldese.org    v=dmarc1; p=none; sp=none; rua=mailto:abuse@chiesavaldese.org; rf=afrf; pct=100; ri=86400

De URL in de email gaat naar het volgende adres:

http://xploiterncometex.store/nieuwedigipass.nl/

De scammer heeft niet eens een poging gedaan om een goede URL uit te zoeken. Als ik kijk in de whois van deze domeinnaam zie ik dat deze ook nog niet zo heel lang bestaat. De registratiegegevens zullen wel niet heel echt zijn.

sebastian@research:~$ whois xploiterncometex.store
Domain Name: XPLOITERNCOMETEX.STORE
Registry Domain ID: D69900735-CNIC
Registrar WHOIS Server: whois.hostinger.com
Registrar URL:
Updated Date: 2018-06-21T23:47:22.0Z
Creation Date: 2018-06-12T22:15:03.0Z
Registry Expiry Date: 2019-06-12T23:59:59.0Z
Registrar: Hostinger, UAB
Registrar IANA ID: 1636
Domain Status: serverHold https://icann.org/epp#serverHold
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant Organization: Glen Shaw Shaw
Registrant State/Province: Ontario
Registrant Country: CA

Het IP adres van de webserver 97.79.236.49 komt uit op een shared hosting server met cPanel. Gehost bij “Global Virtual Opportunities”. Na even verder zoeken lijkt GVO geen hele goede reputatie te hebben en ook wel een beetje bekend staat als bedrijf waar spammers graag hun website (tijdelijk) hosten voor niet veel geld.

Overigens lijkt een dag later deze URL niet meer te bestaan. Mogelijk heeft men hier al actie op ondernomen. Ook omdat de status van het domain nu op serverHold staat.

Op de website trof ik een login pagina aan van de ASN Bank. Een screenshot van de website in de browser stuurde ik door naar diverse mensen en vroeg wat er mis is met deze login pagina van de ASN Bank. Men vond de 2 vraagtekens rechts boven wat vreemd staan. Maar het viel niemand direct op dat de verbinding niet beveiligd was, en dat de URL van de website niet klopte.

In de bron is duidelijk te zien dat deze gekopieerd is met de tool HTTrack (https://www.httrack.com/).

HTTrack is een tool waarmee heel eenvoudig een kopie gemaakt kan worden van een complete website. Erg handig voor dit soort praktijken.

Als ik op de pagina gewoon wat willekeurige logingegevens invul, dat kom ik op de pagina waarop “de bank” mij vraagt om het nummer van mijn digipas.

Hier heb ik het telefoonnummer van de ASN Bank maar ingevuld, omdat het iets met 10 cijfers moest zijn. Na het invullen krijg ik een bedankje voor het aanvragen van mijn nieuwe digipas. Erg aardig! Maar hier staat ook expliciet vermeld dat ik de komende 24 uur niet meer online mag bankieren. Dit alleen is natuurlijk al vreemd, maar gezien vanuit de scammer is dit voor hun wel handig. Eventuele acties op uw bankrekening worden op dat moment pas later bij u inzichtelijk.

Heel even heb ik nog gekeken of ik iets met het formulier kon doen, maar na een paar pogingen werkte de website niet meer.

Wat gaat hier fout

Een oplettende internet en e-mail gebruiker zal zien dat het mailtje niet vanaf een ASN Bank domein verstuurd is. Echter is dit op een mobieltje veel minder goed te zien. En aangezien men steeds vaker zaken via de smartphone of tablet regelt, kan iemand hier een stuk makkelijker in trappen.

Verder kwam de e-mail wel vanaf een domeinnaam en server die vertrouwd was. Zaken als SPF en DMARC waren hiervoor ingesteld. Wat ten goede komt aan het vertrouwensniveau door de diverse spamfilters. Het probleem hier zal geweest zijn dat er een bestaand account misbruikt is. Een account met een makkelijk wachtwoord of een login en wachtwoord combinatie welke bekend zijn in de vele online wachtwoord lijsten. Have I been Pwned is een mooie website om dit te controleren. https://haveibeenpwned.com/Passwords

De URL in de e-mail waar op geklikt moet worden gaat niet naar een website van de bank. De scammer heeft niet eens echt de moeite genomen om het legitiem te laten lijken. Geen HTTPS, geen goed lijkende domeinnaam. De kopie van de website lijkt dan weer wel redelijk echt.

Ik mag hopen dat niemand de kans gekregen heeft om hier in te trappen. Met de ingevulde gegevens kan een rekening in een keer worden leeggemaakt. En als je je aan de 24 uur niet online bankieren houd, dan kom je er nog eens een dag later achter. In dit geval is de tijd om je geld terug te krijgen cruciaal.

Wie kan dit oplossen?

Dit soort scam is vaak lastig op te tegen te gaan. Het probleem ligt vaak bij de ontvanger die net even niet alert genoeg is om te zien of deze mail wel echt is nep is. Ook spamfilters herkennen dit soort scam vaak niet direct waardoor de e-mail vooral in het begin gewoon in de mailbox komt.

Voor de ASN Bank is het ook een lastige taak om dit soort e-mail scam tegen te gaan. Op hun domein hebben ze netjes SPF, DKIM en DMARC aan staan wat het spoofen van een domein tegen kan gaan. Wat wel op valt is dat men bij DMARC niet een p=reject of een p=quarantine policy hanteren. Ook heeft men in het SPF record de volgende include staan include:spf.protection.outlook.com. Als een scammer het echt gemunt heeft op ASN Bank klanten, zou deze misschien ook iets af kunnen nemen bij Microsoft waardoor hij deze zelfde mailservers gebruikt waardoor de scam e-mail door de SPF check komt. Het DMARC record voegt met een p=none daarnaast niet heel veel extra toe op een stuk monitoring na.

UPDATE: De domeinnaam lijkt offline gehaald te zijn. Het hosting pakket is nog wel benaderbaar.

Gerelateerd

2018-06-20 6 minuten leestijd Sebastian asn-bank phishing spam awareness e-mail phishing