Fox-IT waarschuwt voor grote hoeveelheid phishing-e-mails met LinkedIn-gegevens

Beveiligingsbedrijf Fox-IT waarschuwt dinsdag dat het een grote hoeveelheid Nederlandstalige phishing-e-mails heeft waargenomen. De e-mails bevatten informatie die afkomstig is van LinkedIn, maar een verband met de LinkedIn-hack zou niet direct aangetoond kunnen worden.

In de e-mail wordt de ontvanger direct aangesproken met voor- en achternaam in combinatie met beroeps- en bedrijfsgegevens, waardoor de e-mail een authentieke indruk maakt, aldus Fox IT. Die informatie lijkt afkomstig te zijn van de LinkedIn-pagina van de ontvanger. Het doel van de mail, waarin wordt gevraagd om betaling van een openstaand bedrag, is om de ontvanger een kwaadaardig Word-document te laten openen.

Dit document geeft alleen onleesbare tekens weer om het slachtoffer zover te krijgen om macro's in te schakelen om de inhoud van het document in kunnen zien. Daarbij is de bestandsnaam van het document ook van de voor- en achternaam van de gebruiker voorzien, inclusief de naam van het bedrijf waar deze werkzaam is.

Als macro's eenmaal zijn ingeschakeld, wordt er een bestand van een hoogstwaarschijnlijk gekaapte website opgehaald. Volgens Fox IT is dit bestand de Zeus Panda-malware, die voornamelijk wordt ingezet om bankgegevens te achterhalen. Deze malware vindt zijn oorsprong in het Trojaanse paard Zeus, dat sinds 2007 actief is. Panda is volgens beveiligingsbedrijf Proofpoint ook onderdeel van verschillende exploitkits.

IT-banen

Reacties (75)

Cajus

7 juni 2016 20:10

Mailtje zelf nog niet gehad, intussen wel al gebeld door bezorgde mensen die vanuit mijn bedrijf spookfacturen voor een bedrag van €2.180,- hebben ontvangen en om uitleg vroegen. Mail adres eveneens vanaf het domein t-online.de.

Mijn bedrijfsgegevens worden dus ook gebruikt als afzender. Het lijkt erop dat het (openbare) KvK bestand wordt gebruikt aangezien ik onder deze handelsnaam niet op LinkedIn actief ben.

Blankinho 7 juni 2016 21:03

Onderstaand artikel staat nog iets meer technische achtergrond over hoe en wat.

https://blog.fox-it.com/2...lware-in-the-netherlands/

scsirob @Blankinho • 8 juni 2016 09:25

Pas op! Er is een nieuwe variant in omloop! Deze stuurt een email die lijkt op een headhunter die je een job aanbiedt. De 'job description' is een Word document op een onedrive link:

===
Hello

My name is Ed Emauns, I browsed your profile page on the LinkedIn, and I believe you might be the right fit for the role opening which we now have nearby. If you please read through the below doc for the specific details, and after that revert back with your current cv, if you happen to be interested.

https://onedrive.live.com/view.aspx?resid=<weggehaald>

Please feel free to contact me if you need any further information.

Ed Emauns
The Hershey Company
===

hackerhater @scsirob • 8 juni 2016 10:19

Zucht. Dezelfde afzender of een andere?
Ben op dit moment in email-contact met de beheerder van t-online.de en als het goed is gaan de servers vandaag op zwart.

scsirob @hackerhater • 8 juni 2016 15:33

Nee, het pad is anders. Het lijkt op een andere aanval, maar met dezelfde source email adressen (LinkedIn)
====
From - Wed Jun 08 09:09:34 2016
X-Account-Key: account2
X-UIDL: UID15375-1416976029
X-Mozilla-Status: 0013
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <ci@kurticao.com.br>
X-Original-To: Mijnadres@mijndomein.nl
Delivered-To: Mijnadres@mijndomein.nl
Received: by srv12111.hostingserver.nl (Postfix, from userid 30)
id 94D2DA4472; Wed, 8 Jun 2016 09:04:48 +0200 (CEST)
X-Original-To: Mijnadres@mijndomein.nl
Delivered-To: Mijnadres@mijndomein.nl
X-No-Auth: unauthenticated sender
Received: from asx121.turbo-inline.com ([15.26.22.201]) by group21.345mail.com
with LOCAL; Tue, 07 Jun 2016 23:29:59 -0700
X-No-Auth: unauthenticated sender
X-ASG-Debug-ID: 1465369481-0601732fc61c7bd80001-xfKiBd
Received: from kurticao.com.br (51-115-184-178.pppoe.irtel.ru
[178.184.115.51]) by filter08.premiumantispam.nl with SMTP id
cThN5h4GPDWqLuoD for <Mijnadres@mijndomein.nl>;
Wed, 08 Jun 2016 09:04:43 +0200 (CEST)
X-Barracuda-Envelope-From: ci@kurticao.com.br
X-Barracuda-Effective-Source-IP: 51-115-184-178.pppoe.irtel.ru[178.184.115.51]
X-Barracuda-Apparent-Source-IP: 178.184.115.51
Received: from unknown (208.44.213.62)
by mail.gimmicc.net with LOCAL; Tue, 07 Jun 2016 23:53:33 -0700
Received: from [211.134.110.218] by nntp.pinxodet.net with QMQP;
Tue, 07 Jun 2016 23:50:11 -0700
Received: from [102.2.118.203] by relay-x.misswldrs.com with LOCAL;
Tue, 07 Jun 2016 23:48:25 -0700
Received: from asx121.turbo-inline.com ([15.26.22.201]) by group21.345mail.com
with LOCAL; Tue, 07 Jun 2016 23:29:59 -0700
Message-ID: <1BC23550.15CEAC97@kurticao.com.br>
Date: Tue, 07 Jun 2016 23:29:59 -0700
Reply-To: "Ed Emauns" <ci@kurticao.com.br>
From: "Ed Emauns" <ci@kurticao.com.br>
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en-US;
rv:1.8.1.18) Gecko/20081105 Thunderbird/2.0.0.18
X-Accept-Language: en-us
MIME-Version: 1.0
To: <Mijnadres@mijndomein.nl>
Subject: RE: Mijnnaam
Content-Type: text/plain;
charset="iso-8859-1"
X-ASG-Orig-Subj: RE: Mijnnaam
Content-Transfer-Encoding: base64
X-Barracuda-Connect: 51-115-184-178.pppoe.irtel.ru[178.184.115.51]
X-Barracuda-Start-Time: 1465369482
X-Barracuda-URL: https://filter08.premiumantispam.nl:443/cgi-mod/mark.cgi
X-Barracuda-Scan-Msg-Size: 539
X-Virus-Scanned: by bsmtpd at premiumantispam.nl
X-Barracuda-BRTS-Status: 1
X-Barracuda-Spam-Score: 1.60
X-Barracuda-Spam-Status: No, SCORE=1.60 using global scores of TAG_LEVEL=1000.0
QUARANTINE_LEVEL=1000.0 KILL_LEVEL=5.0 tests=BSF_SC5_MJ1963,
LOCALPART_IN_SUBJECT, LOCALPART_IN_SUBJECT_2, RDNS_DYNAMIC
X-Barracuda-Spam-Report: Code version 3.2, rules version 3.2.3.30265
Rule breakdown below
pts rule name description
---- ----------------------
--------------------------------------------------
0.00 LOCALPART_IN_SUBJECT Local part of To: address appears in Subject
1.00 LOCALPART_IN_SUBJECT_2 Local part of To: address appears in
Subject
0.10 RDNS_DYNAMIC Delivered to trusted network by host with
dynamic-looking rDNS
0.50 BSF_SC5_MJ1963 Custom Rule MJ1963
X-PPP-Message-ID: <20160608070448.15543.96185@srv12111.hostingserver.nl>
X-PPP-Vhost: Mijndomein.nl
X-Antivirus: avast! (VPS 160607-1, 06/07/2016), Inbound message
X-Antivirus-Status: Clean

hackerhater @scsirob • 9 juni 2016 09:39

Hmmm andere server, dezelfde bende waarschijnlijk.

Stealth900 7 juni 2016 21:27

Payload is ondertussen offline. Dat wil niet zeggen dat al het gevaar geweken is, misschien is het lek waardoor deze payload online gezet kon worden nog steeds open. Of is er een ander lek dat gebruikt kan worden.

Bang dat je ten prooi bent gevallen? Een snelle check: als in je $TEMP directory een bestand "tmp1A1A.tmp" aanwezig is met datum van vandaag, moet je je zorgen maken. Daar wordt de payload in opgeslagen.

Pentiummania @Stealth900 • 8 juni 2016 01:25

Dit lijkt wel wat verdacht of toch niet ?

05-06-2016 00:11 123.634 tmp10076aaaaaa
15-05-2016 00:15 130.196 tmp10104aaaaaa
20-05-2016 11:25 133.497 tmp10116aaaaaa
23-05-2016 09:19 123.634 tmp10188aaaaaa
06-06-2016 13:48 123.634 tmp10216aaaaaa
24-05-2016 09:58 123.634 tmp10332aaaaaa
20-05-2016 10:31 133.497 tmp10448aaaaaa
14-05-2016 00:06 130.196 tmp10468aaaaaa
03-06-2016 10:46 123.634 tmp10472aaaaaa
01-06-2016 16:14 123.634 tmp10516aaaaaa
18-05-2016 09:23 130.196 tmp10584aaaaaa
18-05-2016 22:43 133.497 tmp10608aaaaaa
17-05-2016 15:06 130.196 tmp10680aaaaaa
31-05-2016 00:00 123.634 tmp10688aaaaaa
31-05-2016 20:34 123.634 tmp11140aaaaaa
14-05-2016 23:34 130.196 tmp11216aaaaaa
31-05-2016 12:50 123.634 tmp11844aaaaaa
04-06-2016 11:49 123.634 tmp12024aaaaaa
26-05-2016 12:32 123.634 tmp12180aaaaaa
07-06-2016 13:14 123.634 tmp12632aaaaaa
18-05-2016 08:12 130.196 tmp13508aaaaaa
05-06-2016 21:38 123.634 tmp13576aaaaaa
07-06-2016 22:08 123.634 tmp1432aaaaaa
12-05-2016 14:38 130.196 tmp2608aaaaaa
07-06-2016 09:04 123.634 tmp5832aaaaaa
30-05-2016 12:16 123.634 tmp6004aaaaaa
28-05-2016 00:35 123.634 tmp6392aaaaaa
05-06-2016 00:36 123.634 tmp7016aaaaaa
21-05-2016 01:28 123.634 tmp796aaaaaa
17-05-2016 08:24 130.196 tmp7972aaaaaa
01-06-2016 01:46 123.634 tmp8320aaaaaa
13-05-2016 01:32 130.196 tmp8580aaaaaa
16-05-2016 01:32 130.196 tmp8744aaaaaa
26-05-2016 23:15 123.634 tmp8956aaaaaa
13-05-2016 01:28 130.196 tmp8996aaaaaa
05-06-2016 12:30 123.634 tmp9308aaaaaa
28-05-2016 21:20 123.634 tmp9472aaaaaa
25-05-2016 00:18 123.634 tmp9488aaaaaa
17-05-2016 00:06 130.196 tmp9520aaaaaa
16-05-2016 23:32 130.196 tmp9604aaaaaa
26-05-2016 00:44 123.634 tmp9640aaaaaa
17-05-2016 22:39 130.196 tmp9656aaaaaa
15-05-2016 23:58 130.196 tmp9700aaaaaa
05-06-2016 22:16 123.634 tmp9704aaaaaa
06-06-2016 13:04 123.634 tmp9772aaaaaa
21-05-2016 23:40 123.634 tmp9796aaaaaa
03-06-2016 22:44 123.634 tmp9820aaaaaa
03-06-2016 08:49 123.634 tmp9828aaaaaa
04-06-2016 11:15 123.634 tmp9948aaaaaa
21-05-2016 00:05 123.634 tmp9984aaaaaa
50 File(s) 6.309.719 bytes
0 Dir(s) 5.038.247.936 bytes free

Nog geen bestand van 8-6-16 inmiddels, eerst rebooten ? haha hehe, ga zo maar es slapen en laat dat ding lekker uitstaan, pffff. Al dat gehack en virustoestanden de laatste tijd.

AL DIE BESTANDEN HEBBEN WEL EEN ERG VERDACHTE BESTANDSGROOTTE!

Hier nog 2 van een ander windows account, ze hebben wel niet de extensie .tmp maarja:
18-05-2016 07:47 130.196 tmp18708aaaaaa
18-05-2016 07:56 130.196 tmp6552aaaaaa

[Reactie gewijzigd door Pentiummania op 23 juli 2024 22:54]

Stealth900 @Pentiummania • 8 juni 2016 08:39

Naam moet exact "tmp1A1A.tmp" zijn. Die naam zit hardcoded in de VBA-code van het document.

Anoniem: 757041 8 juni 2016 09:22

https://blog.fox-it.com/2...lware-in-the-netherlands/

VortexD 7 juni 2016 15:43

Heb deze mail vanochtend ontvangen, alleen niet van LinkedIn. Was een e-mail van een fictief bedrijf met fictieve contactgegevens. Adres bestond wel, maar was een woonflat in een stad dat niet overeenkomt met het telefoonnummer.

In de mail stond dat ik ze €1001,- schuldig was van een openstaande factuur welke voor 13-6 betaald moest zijn.

Als bijlage was een Word bestand, welke ik niet heb geopend. E-mail gelijk gedelete.

Is het verdacht, gelijk delete drukken.

Zie email:
Beste Farhan Alibux,
Architect, ZeroLogic

Deze herinnering betreft factuurnummer 000260070. De betaling had bij ons binnen moeten zijn op 13-jun-16. Het gaat om een totaalbedrag van 1,001.50 EUR. Gelieve het resterende bedrag te voldoen.

Als u vragen heeft, neem dan contact met ons op.

Met vriendelijke groet,

C.F.G. De Rooij,
>NAME DELETED<.
Vijfheerenlanden 279 a Vianen, nvt 4131GA
Tel. +31206155183
Fax. +311804814299

[Reactie gewijzigd door VortexD op 23 juli 2024 22:54]

Ayporos @VortexD • 7 juni 2016 15:56

Ik kreeg vanochtend om 9:15 volgende mail met een bijgevoegd .DOC document (uiteraard NIET geopend!) binnen op mijn microsoft email adres. Indien meerdere van jullie soortgelijk email binnen krijgen gelieve de attachment NIET open en ook niet op enige links drukken in de email body!!!!!! Beste wat je kunt doen is gewoon rapporteren als phishing mail en verwijderen! Wellicht interessant om te vermelden is dat ik GEEN linkdin account heb en dat ze dus niet alleen via linkdin gegevens deze mails versturen.

titel: frank.vandermast, Bij late betaling brengen wij kosten in rekening (Jun-1832141)

mail body:

Geachte frank.vandermast,

Deze mededeling is een vriendelijke reminder aangaande uw resterende saldo , welk op korte termijnverschuldigd is. Zie de bijgesloten factuur voor meer details.

Opdrachtnummer: #01677735

vervaldag: 10 Jun 16

Totale waarde van de order: 2,374.00 €

We doen graag zaken met u!
Met vriendelijke groet

J. Kiers,
BINNENSHUIS INTERIEURADVIES.
IJsvogel 40 MAARSSEN 3602XP
Tel. +311131206209687
Fax. +31356781640

[Reactie gewijzigd door Ayporos op 23 juli 2024 22:54]

Distrax1988 @Ayporos • 7 juni 2016 16:07

Gaan we nu met ze allen onze mail posten

Doe de Phishing Quiz eens http://www.consumentenbon...ine/iframe-phishing-quiz/

Mensen moeten stoppen met het verschil zien tussen een e-mail en de deur open doen voor onbekende.

VortexD @Distrax1988 • 7 juni 2016 16:11

Puur om te weten hoeveel varianten op deze grap zijn bedacht zou het wel nuttig zijn de mails de posten. Alleen lijken alle gebruikte namen echt, zou ook niet fijn zijn om van al die mensen hun naam te posten. Want die hebben er niks mee te maken. Heb ik trouwens wel gedaan, sorry Peter.

Ayporos @VortexD • 7 juni 2016 16:24

Haha, ja ik word er ook niet warm of koud van als jullie mijn naam weten hoor.
Vind het belangrijker dat mensen niet voor deze mails vallen want het gaat wel om grote bedragen en de mails zien er geloofwaardiger uit dan alles wat ik tot nu toe ontvangen heb. Oke ik en menig van jullie zullen ze uiteraard wel herkennen maar wij zijn dan ook Tweakers. Ik heb voor de goede orde toch even een waarschuwing gepost op facebook voor de wat minder wantrouwigen onder ons. Die consumentenbond test is trouwens wel erg nuttig voor mensen die minder bekwaam zijn in het herkennen van zulke e-mails. (zelf klik ik sowieso NOOIT op iets in de mail van een 'bedrijf', ik ga naar de website van het bedrijf en zoek daar de informatie op indien ik denk dat het legitiem is.. dat is de meest veilige manier om phishing tegen te gaan)

Groetjes,

Frank.

[Reactie gewijzigd door Ayporos op 23 juli 2024 22:54]

DdeM @Ayporos • 7 juni 2016 17:06

Probleem is niet zozeer dat je JOU naam post, maar de naam van de afzender en bedrijfsnaam zijn in de meeste gevallen ook echt (alleen niet matchend). Zou dus handig zijn die eventueel te censureren als je de body van de mail post.

Ayporos @DdeM • 7 juni 2016 17:25

Lijkt me duidelijk dat iedereen die deze reacties leest weet dat evt. genoemde natuurlijke personen of bedrijven enkel hun gegevens gephisht hebben gehad (des al niet via de KVK of linkedin) zonder hun directe toedoen of malpractice en dus niet direct noch indirect geaffilieerd zijn bij deze kwaad bedoelende aanvallen. Ik zie dan ook niet hoe deze personen of bedrijven negatief beïnvloed zouden kunnen zijn hierdoor.

[Reactie gewijzigd door Ayporos op 23 juli 2024 22:54]

JurGor @Distrax1988 • 7 juni 2016 16:39

Hee wat een leuk quizje! 11 van de 12 goed. En mijn foute was een goede die ik als 'fout' aanmerkte, dus dat is nog de minst schadelijke soort fout.

Maar je moet ze de kost geven die erin trappen, nadat de reut het spamfilter gepasseerd is. En het is wachten op taalkundig volledig correcte versies. Deze gaan al een stap verder door een persoonlijke aanhef.

Ironisch: de beste bescherming tegen phishing blijft vooralsnog de Nederlandse taal, die geen enkele digitale boef kennelijk voldoende beheerst om een volledig foutloze mail op te stellen.

VortexD @Ayporos • 7 juni 2016 16:03

Ik vraag mij af op welke manier er verschillende e-mails zijn gemaakt met fictieve inhoud en namen en contactgevens. De meeste namen en adressen bestaan wel, alleen geen onderling verband.

Op linked in vind ik wel bijvoorbeeld Janine Kiers maar geen Peter Stordiau, zoals in mijn mail. Deze Peter bestaat wel trouwens. Alleen is zijn naam denk ik niet via Linked In database in de mail gekomen.

Er zal dus wel een mooie ingewikkele script achter zitten om deze mails te maken. Ik keur het niet goed, maar ik kan de moeite er achter wel waarderen. Jammer dat deze mensen hierachter dit niet nuttig kunnen/willen toepassen.

EDIT: De enige website die ik ken waar al deze namen zoals in de mails hierboven (inclusief de mijne) wel bijelkaar te vinden zijn is op de site van de Kamer van Koophandel. En die database kun je gewoon kopen van hun.

[Reactie gewijzigd door VortexD op 23 juli 2024 22:54]

Powermage @VortexD • 7 juni 2016 16:32

Een klant van ons belde vandaag op en wist te vertellen dat zijn gegevens als afzender gegevens zijn gebruikt, een ontvanger van de mail belde hem namelijk op (dat hij niets van de factuur snapte)

-Colossalman- @Ayporos • 7 juni 2016 16:07

Dat zijn ook geen lullige bedragen die je zo even overstort.
Het was handiger geweest als ze tot een bedrag van +/- €50,- waren gegaan.

PilatuS @-Colossalman- • 7 juni 2016 16:11

Daar gaat het niet om. Het gaat niet om dat ze je willen laten betalen. Het gaat om het virus wat in de bijlage zit. Hoe hoger het bedrag hoe groter de kans dat mensen de bijlage openen.

hackerhater @-Colossalman- • 7 juni 2016 16:10

Voor een bedrijf zijn deze bedragen niks.................

Chrotenise @hackerhater • 8 juni 2016 01:39

ligt aan je bedrijf....;)

Jack Flushell

@VortexD • 7 juni 2016 18:35

Is het verdacht, gelijk delete drukken.

Dank je! Is wel echt nodig om even vet te drukken hier op T.net, want het zijn allemaal van die digibeten hier. HANG OP, KLIK WEG, BEL UW BANK -niveau.

Maar goed bedoeld, dus +1

Bozevkwa

7 juni 2016 15:53

Ik had er vanochtend ook al twee. Zelfde email adres, verschillende 'afzender'.
De emails hebben een enkele reis naar /dev/null gekregen

Ik vroeg mij al af waar ze de gegevens hadden opgeduikeld. LinkedIn dus.
Die site heeft een serieus veiligheidsprobleem (om maar eens een understatement erin te gooien)

Johan9711 @Bozevkwa • 7 juni 2016 16:26

Je komt een heel eind als je @t-online.de blokkeerd ;-)

edit: schijnbaar een duits t-mobile adres. oppassen met blokkeren dus.

[Reactie gewijzigd door Johan9711 op 23 juli 2024 22:54]

base_ @Johan9711 • 7 juni 2016 16:49

Ik had er een van @t-online.de , wat me echter opviel was dat de verzendende mailserver mailout04.t-online.de[194.25.134.18] was

hackerhater @base_ • 7 juni 2016 17:21

Een aparte mail-server. Zo raar is dat nu ook weer niet.

SunnieNL

@base_ • 7 juni 2016 18:56

Als een van de klanten een trojan heeft kunnen ze die gebruiken voor verzenden via de mailout van t-online. Ze relayen dan de berichten via de botnet-pc over de mailserver van t-online naar buiten.
Andere mogelijkheid is dat ze inlognaam en gebruikersnaam van een persoon hebben en mogen relayen via de mailserver.
Alle mailadressen, namen en functiegegevens hebben ze vast via gehackte LinkedIn Accounts van mensen die weer vrienden in de 1ste rang hebben die hun mailadres tonen.

kimborntobewild @Bozevkwa • 7 juni 2016 16:02

Die site heeft een serieus veiligheidsprobleem

De gebruikers, bedoel je. (Door mismanagement bij LinkedIn.)

Batiatus 7 juni 2016 15:48

Wij hebben ze ook al binnen gehad. De precieze functienamen van de getroffen personen werden bij ons van LinkedIn gehaald en in de mail geplakt.. Macro's worden op het moment geanalyseerd, op Virustotal al gecheckt maar er zijn nog niet veel hits. Ook op malwr.com lijkt de macro nog geen verbinding te maken met een website.
Een van de medewerkers gaf al aan dat zij haar werk-email adres niet gebruikte maar van Gmail voor LinkedIn. Ik denk dat het toevallig met de LinkedIn hack samenvalt.. Conclusies vallen er hier in ieder geval nog niet te trekken.

hackerhater @Batiatus • 7 juni 2016 16:09

De mails die hier ontvangen werden gebruikten info die niet op linkedin staan.
Lijkt dus inderdaad toeval te zijn.

_Eend_ @hackerhater • 7 juni 2016 19:01

Bij ons waren het mails die door bijvoorbeeld M.Janssen(at)t-online.de zijn verstuurd, maar in de handtekening staat dan weer een totaal andere naam.

Ik heb er ook een gekregen, en mijn info staat zeker niet op linkedin. Sterker nog; ik gebruik mijn werk Mail nauwelijks op internet, afgezien van een handje vol leveranciers en mijn privemail. Ik ga dus maar voor de zekerheid mijn wachtwoorden wijzigen.

japieb @Batiatus • 7 juni 2016 16:58

In mijn geval is ook mijn werk email adres gebruikt, terwijl ik mijn privé email gebruik voor LinkedIn.

hackerhater 7 juni 2016 15:47

Hier hebben we er ook al een paar gehad -_-'
Lang leven dat de macro's standaard uit staan hier.

kimborntobewild @hackerhater • 7 juni 2016 15:58

Let wel: scholen moeten macro's verplicht AAN zetten voor bepaalde digitale examens(!). Anders kunnen de betreffende leerlingen simpelweg de betreffende examenopdracht niet uitvoeren.
Je kan moeilijk aan de leerlingen vragen zelf even macro's aan te zetten voor het starten (als dat niet al is geblokkeerd door een beheerder); temeer aangezien er ook een macro (..) actief is die bijhoudt hoe lang er wordt gedaan over het examen.
Wat trouwens niet werkt, omdat de leerling op Bestand / Afdrukken klikt (of het betreffende lint-commando) of ctrl+p, i.p.v. de printknop gebruikt (want als de printknop wordt gebruikt, registreert die knop dat als afsluittijd). Maar dat terzijde.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 22:54]

hackerhater @kimborntobewild • 7 juni 2016 16:07

Die leverancier hoort dan failliet te gaan dat ie zo'n troep durft te verkopen.

Anoniem: 636203 @kimborntobewild • 7 juni 2016 17:23

En wat als je het bestand opent met LibreOffice? Gaan de macro's dan ook een virus downloaden?

Sissors @kimborntobewild • 7 juni 2016 17:40

Daar heb je toch gewoon certificaten voor om die bestanden te vertrouwen en enkel bij vertrouwde bestanden macro's uit te voeren.

En zelfs als je soms macro's nodig hebt, dan heb je toch alsnog een vraag of je macro's wil inschakelen? En dat moet je dan doen voor betrouwbare bestanden en niet voor andere. Net als een .exe bestand: Niks mis mee, als je weet dat hij uit een betrouwbare bron komt en niet in een random mailtje.

To_Tall

@Sissors • 8 juni 2016 12:29

Eens, Office check of het bestand ondertekend is. Heb je het doc zelf gemaakt niets aan de hand.. Maar als je bestand van het internet plukt en is niet ondertekend dan is het vragen om problemen..

kimborntobewild @Sissors • 14 juni 2016 13:37

En zelfs als je soms macro's nodig hebt, dan heb je toch alsnog een vraag of je macro's wil inschakelen? En dat moet je dan doen voor betrouwbare bestanden en niet voor andere

Ja maar hoe moet een leerling (of zelfs medewerker) beoordelen of iets betrouwbaar is?
Dat met die certificaten: daar heb ik zelf geen ervaring mee. Ben benieuwd hoe dat gaat.

jozuf @kimborntobewild • 7 juni 2016 16:14

Klinkt als een zielig macro dan want alles kan je afvangen, dus ook de lint knoppen, shortcuts etc.
Daarnaast lekker die zooi in een sandbox/VM draaien en je hebt helemaal geen problemen. Het kan wel beter maar goed, als het zo moet dan moet het zo en kan je iig de zooi inperken.

SunnieNL

@kimborntobewild • 7 juni 2016 19:00

Je kunt de omgeving ook ze instellen dat de macro's aan gezet worden als je de site gaat bezoeken/ digitale examen gaat doen en dat macro's anders default uit staan.

[salespetje op] voor meer info PM me, we komen graag een demo geven of zoek me donderdag ff op na mijn presentatie op de RES Focus[salespetje af]

[Reactie gewijzigd door SunnieNL op 23 juli 2024 22:54]

kimborntobewild @SunnieNL • 14 juni 2016 13:38

RES

Ik ben niet zo kapot van RES... Heb altijd 't idee dat dat 't in- en uitloggen vertraagt.

Venxir 7 juni 2016 15:43

Binnen ons bedrijf al meerdere van zulke e-mails gehad. Ook onbekenden voor ons krijgen e-mail met onze bedrijfsnaam erin, erg smerig en slecht voor je imago

hackerhater @Venxir • 7 juni 2016 15:46

Geen SPF-records op jullie domeinnaam?
Dat zouden de mails automatisch als spam laten aanmerken namelijk

Venxir @hackerhater • 7 juni 2016 15:48

Het zit niet in de email-header met gewoon in het bericht zelf. Zo krijgen andere bedrijven emails van xxxxx@t-online.de maar bevatten deze namen en nummers van ons bedrijf in de footer van de email zelf. die mensen bellen ons dan om te vragen wat dit betekent.

hackerhater @Venxir • 7 juni 2016 16:06

t-online.de, die klinkt heel erg bekend hier....................
Als zij eens een SPF-record zouden toevoegen zouden al die mailtjes in een zwart gat verdwijnen, zucht

Met je eens dat het heel smerig is

Antyrael @hackerhater • 7 juni 2016 16:52

Ik heb de headers van zo'n mailtje bekeken en de allereerste Received From was al van een t-online.de IP adres.
Lijkt er mij meer op dat er tenminste 1 server compromised is daar.

hackerhater @Antyrael • 7 juni 2016 16:55

hmmmm dat is nog erger dan vervalste afzenders.
Zou je me die headers per PB kunnen sturen?
Dan ga ik eens een abuse-emailtje insturen

Neerhalen die host.
Hier zit zo'n spam scrubbing service er tussen, dus ik kan de orginele headers niet zien (helaas)

Dorank @hackerhater • 7 juni 2016 20:25

Het lijkt me gewoon vanaf een gebruiker met een "open relay/script" op een T-Online netwerk verbinding, voor mij makkelijk te herkennen aangezien ze letterlijk spam@mijnachternaam.nl als To hebben gebruikt. In dit specifieke geval is de oorspong schijnbaar een russisch ip adres.

Received: from mailout04.t-online.de ([194.25.134.18])
by localhost with esmtps (TLS1.2:DHE_RSA_AES_256_CBC_SHA256:256)
(Exim 4.80)
(envelope-from <kalibr@t-online.de>)
id 1bAB58-0002N9-55
for spam@achternaam.nl; Tue, 07 Jun 2016 09:05:48 +0200
Received: from fwd33.aul.t-online.de (fwd33.aul.t-online.de [172.20.27.144])
by mailout04.t-online.de (Postfix) with SMTP id D2DF141B324F
for <spam@achternaam.nl>; Tue, 7 Jun 2016 08:55:44 +0200 (CEST)
Received: from [127.0.0.1] (rSIVT0ZcYhXUeDIAuizuV35agJabGO9NRGS-7HZaUvY05bm73u3h5cfG1Hw7Vq5wkZ@[95.71.249.17]) by fwd33.t-online.de
with (TLSv1:DHE-RSA-AES256-SHA encrypted)
esmtp id 1bAAvM-2jC1lS0; Tue, 7 Jun 2016 08:55:40 +0200

Antyrael @hackerhater • 7 juni 2016 16:56

Dat gaat helaas nu niet lukken, ik zit niet langer op kantoor

hackerhater @Antyrael • 7 juni 2016 16:58

To bad

Antyrael @hackerhater • 7 juni 2016 17:06

Ik ben toch even ingelogd om te kijken (ik kan het niet laten).

Nu kijk ik wat beter en minder gehaast en nu zie ik toch wel verschillende IP's waar de emails van afkomstig zijn.

Hier een geanonimiseerde voorbeeld header:
Received: from mailout10.t-online.de (mailout10.t-online.de [194.25.134.21]) by mx1407.ess.rzc.cudaops.com (version=TLSv1.2 cipher=ECDHE-RSA-AES256-GCM-SHA384 bits=256 verify=NO); Tue, 07 Jun 2016 08:05:40 +0000
Received: from fwd06.aul.t-online.de (fwd06.aul.t-online.de [172.20.26.150])
by mailout10.t-online.de (Postfix) with SMTP id E680941E607E
for <naam.achternaam@company.com>; Tue, 7 Jun 2016 10:05:38 +0200 (CEST)
Received: from [127.0.0.1] (rPD5aTZAwhFy8G6x4I-ly3m3MR8tEYR1M5e4h61pKzCTCejD8n9jx0lrNA+uHa4gfs@[188.19.142.18]) by fwd06.t-online.de
with (TLSv1:DHE-RSA-AES256-SHA encrypted)
esmtp id 1bAC10-0HUnzq0; Tue, 7 Jun 2016 10:05:34 +0200
Message-ID: <57569C6D.A243BEB4@t-online.de>
Date: Tue, 7 Jun 2016 10:05:33 +0200
From: "M Van Kampenhout" <meyer-raaf@t-online.de>
Subject: Company : Uw factuur wacht op betaling (09-928827)

hackerhater @Antyrael • 7 juni 2016 17:15

Thanks,
Berichtje is de deur uit. Of hun servers zijn gehacked of een van hun gebruikers.
One way of the other : notice and take down

3raser @hackerhater • 7 juni 2016 17:07

SPF-records zijn lang niet altijd even nuttig. Veel e-mail providers negeren ze daarom ook of geven de e-mail hooguit een iets hogere spam score. Stel je voor dat ik een dienst gebruik die mijn e-mails filtert op spam waarna ze doorgestuurd worden naar mij. Dan klopt het SPF-record helemaal nooit omdat de verzendende server altijd die tussenliggende dienst is.

hackerhater @3raser • 7 juni 2016 17:17

In dat geval moet je het inderdaad niet checken, maar die spam-filter dienst zal er wel op checken. Zeker als er hard-fail bij de records staat.

idovitz @3raser • 8 juni 2016 11:53

in dat geval moet je in je SPF record de servers of een include met de servers van de dienst opnemen..

3raser @idovitz • 8 juni 2016 13:40

Je draait de rollen om. Het gaat om inkomende mail. Dat zou betekenen dat alle mensen die mij e-mailen mijn spam-dienst in hun SPF record op moeten nemen.
Het zou uiteraard geen probleem zijn als mijn eigen uitgaande mail via die dienst zou lopen. Maar dat is niet waar dit om gaat.

idovitz @3raser • 8 juni 2016 14:07

Je hebt gelijkt, ik dacht aan uitgaande mail. Vaak zie ik dat mensen wel een SPF record configureren maar diensten dan niet opnemen daarin.

Boogiman 7 juni 2016 15:44

Ik heb de firewall pagina de hele dag al open staan! De 1 na de ander komt binnen en lang niet allemaal van de zelfde afzender.

kimborntobewild @Boogiman • 7 juni 2016 15:53

...en lang niet allemaal van de zelfde afzender.

Filteren op afzender heeft zeer weinig effect; men genereert automatisch altijd weer andere afzenders (zelfs als de inhoud van het mailtje grotendeels hetzelfde blijft).

Wil je effect, dan moet de opsporing meer geld krijgen, en de straffen veel hoger.

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 22:54]

Op dit item kan niet meer gereageerd worden.

Fox-IT waarschuwt voor grote hoeveelheid phishing-e-mails met LinkedIn-gegevens

Lees meer

IT-banen

Reacties (75)

Sorteer op:

Weergave: