Home Verhalen Uitleg Archief

Rabobank Phishing juni 2018

Phishing is nog steeds een winstgevende business voor criminelen. Zojuist kreeg ik een mail van de Rabobank, of wat op de Rabobank moet lijken. De mail zag er goed uit! Maar er zijn genoeg triggers zoals de afzender en de URL in de link die mij vertellen dat deze mail niet echt is. Daarnaast ben ik ook geen klant bij de Rabobank.

Een mooie gelegenheid om eens op onderzoek uit te gaan!

De mail lijkt verstuurd te zijn vanaf een adres:

"Rabobank N.V." <klanten@verificatie.tikker.nl> Using Smart_Send_3_1_6

Als ik de headers van de e-mail bekijk, zie ik dat het vanaf een server bij Strato verstuurd is. Dat is al sowieso geen mailserver van de Rabobank. Daarnaast is het email adres van de afzender ook geen adres van de Rabobank. Het domeinnaam tikker.nl staat te koop. Hierdoor heeft dat domein over het algemeen ook geen enkele vorm van beveiliging voor e-mail, zelfs geen SPF record. Hierdoor zijn dit soort domeinnamen vaak makkelijk te misbruiken.

h2760021.stratoserver.net 85.214.87.191

URL in de e-mail gaat ook naar en andere website:

http://toemgwe.shortcm.li/

Dit is een URL verkorter die vervolgens de bezoeker doorstuurt naar de volgende URL:

http://zap358427-4.plesk05.zap-webspace.com/aprks/

Ook weer geen URL van de Rabobank. Zie tevens hier onder het redirect pad met de bijbehorende servers.

Omdat ik toch wil weten waar het uit komt en wat ik dan te zien krijg, open ik deze e-mail in een aparte virtuele machine waar ik even op een relatief veilige manier met deze website kan spelen.

Uiteraard komt er eerst een waarschuwing over dat het een phishing website is. De website is dus al eerder door iemand aangemeld als onbetrouwbaar.

Waar ik vervolgens op uit kom verraste mij wel een beetje! De website van de Rabobank is best goed nagemaakt. Ook worden er elementen van de echte website geladen.

Als de browser geen waarschuwing zou geven en als de link misschien beter gekozen wast, zouden er zeker wel mensen intrappen. De website komt gewoon echt over.

Ik besluit wat niet bestaande gegevens in te vullen en door te gaan. De website voelt best echt en is dus goed gekopieerd. Ook kan ik geen gekke waarden in vullen in de velden. Hier lijkt een check op te staan.

Op de onderstaande pagina gaat het leuk worden! De Rabobank wil weten of ik een nieuwe pincode wil, of dat ik mijn bestaande pincode wil behouden. In beide gevallen moet ik dat online, op een webpagina zonder HTTPS mijn pincode invullen. Heel spannend!

Ik besluit maar mijn oude pincode te behouden in deze in te vullen, op naar de laatste stap.

Deze stap vertelt mij dat ik mijn pas door midden moet knippen en moet op sturen naar het volgende adres:

P van Goofy
Annie Romeinstraat 142
2135 SJ Hoofddorp

Heel vreemd is dat ik mijn eigen naam in het adres moet zeten.

Als ik het adres in Google maps opzoek, kom ik uit bij een appartementencomplex. Geen locatie voor een Rabobank lijk mij. Stel ik zou in deze mail getrapt zijn, dan ben ik wel heel erg benieuwd wie op dat adres mijn pas aangenomen zou hebben.

Wat gaat hier fout

Als eerste is de e-mail verstuurd vanaf een niet-Rabobank domein. Als een ontvanger alleen naar de naam in de e-mail had gekeken, en niet het adres, dan zou deze e-mail erg echt over kunnen komen.

Wat dan wel weer goed gaat is dat de afzender niet zomaar het rabobank.nl domein kon pakken om iets te versturen. De Rabobank gebruikt netjes technieken als SPF, DKIM en DMARC om e-mail adres spoofing tegen te gaan.

Als 2e De URL in de e-mail. De e-mail laat enkel de tekst zien. En niet de URL die onder de tekst zit. Als ontvanger moet je hier eigenlijk altijd naar kijken. De URL zegt veel over de betrouwbaarheid van waar je heen gaat. En http://toemgwe.shortcm.li/ is niet een bepaald een vertrouwd adres. Klik er dus niet op!

Maar als ik wel op de klink klik omdat ik de e-mail vertrouw, kom ik vervolgens op een website die gegevens van mij wil weten. Deze website lijkt sprekend op die van de Rabobank! Maar is het niet. De URL is al heel anders, en men gebruik geen HTTPS verbinding net als de Rabobank doet op zijn website. De Rabobank heeft zelfs een EV certificaat waar de bedrijfsgegevens in staan.

Verder bij het invullen van de gegevens. De Rabobank weet echt wel wie je bent als je daar een nieuwe pas aan moet vragen. Deze gaan niet vragen om alle gegevens en je PIN-code. (https://www.veiligbankieren.nl/faq/)

De laatste stap is wel een hele vreemde stap. Je pas doorknippen en opsturen naar een onbekend adres. Een adres waar geen Rabobank zit. Daarnaast maakt het doorknippen van de pas (zoals aangegeven) de pas niet gelijk onbruikbaar! De chip blijft op deze manier gewoon heel!

Als iemand al deze stappen doorlopen heeft, zal deze GEEN nieuwe pas krijgen. Maar zal straks wel zijn rekening geplunderd kunnen worden. Hij heeft tevens zijn pas opgestuurd en PIN-code achtergelaten.

UPDATE: Het lijkt er op dat de URL uit de e-mail je nu naar een andere website door stuurt.

http://toemgwe.shortcm.li/
http://zap358427-4.plesk05.zap-webspace.com/aprks/
http://zap358427-7.plesk06.zap-webspace.com/chopticy/

Gerelateerd

2018-06-05 5 minuten leestijd Sebastian rabobank phishing awareness e-mail phishing