Onderzoeker vindt 711 miljoen e-mailadressen op Nederlandse spamserver

Een onderzoeker die bekendstaat onder de naam Benkow, heeft op een Nederlandse server 711 miljoen e-mailadressen gevonden die worden gebruikt door de Onliner-spambot. Troy Hunt, van de site Have I Been Pwned, heeft de database aan zijn collectie toegevoegd.

Hunt schrijft dat mensen daarom nu kunnen controleren of hun e-mailadres in de gegevens voorkomt. Zijn eigen adres staat er in ieder geval twee keer in, zonder dat hij weet hoe het daar terecht is gekomen. Omdat de database met e-mailadressen voor een deel is samengesteld door scraping, is hij niet geheel zuiver. Daardoor is het aantal van 711 miljoen adressen volgens Hunt 'technisch correct, maar zullen er in werkelijkheid minder echte personen in de data voorkomen'.

Naast e-mailadressen zijn er ook logins en gegevens van smtp-servers op de server aanwezig. Benkow, de ontdekker van de gegevens, schrijft op een eigen blog dat dit de spammers in staat stelt om e-mails via legitieme smtp-servers te sturen, waardoor deze een kleinere kans hebben om gefilterd te worden. Naar eigen zeggen zitten er 80 miljoen inloggegevens in de dump. Die gegevens zijn afkomstig uit verschillende bronnen, bijvoorbeeld grote, uitgelekte databases van LinkedIn, maar ook phishingacties of aangekochte databases.

Volgens Benkow werd de op de server aanwezige spambot gebruikt om fingerprinting spam te versturen. Dit betekent dat er in eerste instantie een grote hoeveelheid e-mails met een afbeelding ter grootte van een pixel wordt verstuurd. Als de ontvanger de mail opent, maakt zijn systeem verbinding met een achterliggend ip-adres waarop de afbeelding is gehost. Daardoor kan degene achter de spamcampagne erachter komen welk systeem de ontvanger draait, bijvoorbeeld een mobiel of een desktopbesturingssysteem.

Deze informatie kan hij vervolgens weer inzetten om gerichte e-mails naar interessante adressen te sturen. Ook kan de spammer er op deze manier achter komen of een e-mailadres geldig is en of spam daadwerkelijk wordt geopend. Daarnaast voorkomt deze werkwijze dat de spamcampagne te 'lawaaierig' wordt, zo legt Benkow uit aan ZDNet. Als dat gebeurt, zou dat de aandacht van opsporingsdiensten trekken.

De spam-e-mails worden gebruikt om de zogenaamde Ursnif-malware te verspreiden, die zich richt op het verzamelen van bank- en creditcardgegevens. Benkow vertelt aan de site dat de Onliner-spambot inmiddels heeft geleid tot 100.000 unieke infecties over de hele wereld. De malware bevat een module die test of inloggegevens toegang geven tot smtp-servers. Werkt dit, dan worden de gegevens aan een lijst toegevoegd, zoals hieronder schematisch is weergegeven.

Troy Hunt zegt dat hij met een 'betrouwbare bron' samenwerkt om de server, die momenteel nog in de lucht is, met opsporingsdiensten offline te halen.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 30-08-2017 10:11
119 • submitter: leon14

30-08-2017 • 10:11

119 Linkedin

Submitter: leon14

Lees meer

Mozilla en Have I Been Pwned werken samen bij tool voor uitgelekte logins Nieuws van 26 juni 2018
HaveIBeenPwned voegt inloggegevens van 26 miljoen nieuwe e-mailadressen toe Nieuws van 26 februari 2018
Troy Hunt breidt verzameling uitgelekte wachtwoorden uit naar half miljard Nieuws van 22 februari 2018
Mozilla-ontwikkelaar test Firefox-notificatie bij bezoek aan site met datalek Nieuws van 23 november 2017
Online discussieplatform Disqus had in 2012 datalek Nieuws van 8 oktober 2017
'Spammerdatabase met 1,4 miljard e-mailadressen lekt uit door fout bij back-up' Nieuws van 6 maart 2017
Europol-actie tegen Avalanche-malwarenetwerk leidt tot arrestaties Nieuws van 1 december 2016
Spammers dringen binnen op Twitter-accounts van bedrijven Nieuws van 19 november 2016
'Providers gaan Belgen informeren als hun pc deel is van botnet' Nieuws van 9 september 2016
Database lijkt gebruikersgegevens datingsite Badoo bloot te leggen Nieuws van 3 juni 2016
LinkedIn bevestigt dat logins van 117 miljoen leden in 2012 werden buitgemaakt Nieuws van 19 mei 2016
Rus biedt 26 miljoen .nl-mailadressen te koop aan Nieuws van 19 maart 2012
Meer producten en artikelen
Netwerk en systeembeheer E-mail Spam

Reacties (119)

-Moderatie-faq
119
119
88
9
1
22
Wijzig sortering
AnonymousWP
30 augustus 2017 10:21
Op deze pagina meer informatie over het lek:

https://haveibeenpwned.com/PwnedWebsites#OnlinerSpambot

Via de volgende link kun je je username of e-mail adres dus invoeren en zien of je voorkomt in de/een datalek:

https://haveibeenpwned.com/

Je kunt sinds een tijdje ook zoeken op wachtwoorden: https://haveibeenpwned.com/Passwords

Via deze link kan je jezelf laten notificeren als jouw gegevens ineens wel voorkomen in een databreach: https://haveibeenpwned.com/NotifyMe

En ook via deze website, kan je jezelf uitschrijven (opt-out) voor de database van haveibeenpwned.com. Dat kan hier: https://haveibeenpwned.com/OptOut

Zie de FAQ voor info over hoe de website met jouw gegevens omgaat: https://haveibeenpwned.com/FAQs

Voor de beheerders is er een Domain Search optie. Nadat je hebt bewezen dat je beheerder bent van een bepaald domein krijg je van e-mailaccounts binnen dat domein te zien of ze bij bekende breaches betrokken zijn. Als systeembeheerder kun je dan je medewerkers informeren. Aangezien mensen geneigd zijn wachtwoorden te hergebruiken kan zo'n lek immers gevolgen hebben voor andere accounts van je bedrijf. Dat kan via de volgende link: https://haveibeenpwned.com/DomainSearch

[Reactie gewijzigd door AnonymousWP op 30 augustus 2017 10:43]

lepel
@AnonymousWP30 augustus 2017 16:35
Ah, handig dat je nu toch ook op wachtwoorden kunt zoeken, dat is nieuw voor mij! Het zou ook wel handig zijn wanneer je notificaties zou kunnen krijgen op basis van wachtwoord, maar om nu maar al mijn huidige (niet-gepwnde) wachtwoorden in de database van haveibeenpwned te gaan zetten is ook vragen om problemen.
.oisyn
@AnonymousWP30 augustus 2017 11:17
Voor de beheerders is er een Domain Search optie
Fijn, die kende ik nog niet :). Ik heb een catch all en gebruik doorgaans een uniek emailadres per website. Zo kan ik dus ook makkelijk achterhalen wie er gelekt heeft en die specifieke adressen gewoon blokkeren.

Al moet ik er wel bijzeggen dat de filters van Google dermate goed zijn dat ik echt maar een paar echte spammailtjes per jaar krijg (met af en toe een false positive, dat dan weer wel }:|)

.edit: zo te zien is alleen mijn persoonlijke adres gelekt via een drietal websites...

[Reactie gewijzigd door .oisyn op 30 augustus 2017 13:42]

BenVenNL
@AnonymousWP30 augustus 2017 15:32
Beetje raar.

Eindelijk na zoveel jaar checken hebben ze mij dan toch te pakken.
Email + ww en overige meuk.
Aangezien ik voor veel sites het zelfde ww gebruik met een site afhankelijke mutatie kon ik via de ww check nog eens kijken of mijn ww er tussen stond.

Nee dus. Het bijbehorende ww is dus niet bekend ...
Beetje tegen strijdig.

[Reactie gewijzigd door BenVenNL op 30 augustus 2017 15:33]

Mosin
30 augustus 2017 10:19
Gelukkig staat mijn adres er niet in.. maar die gasten vinden steeds meer manieren om dit allemaal te kunnen doen.
Is er uberhaupt een mogelijkheid jezelf hier 100% tegen te beschermen? Aangezien er altijd wel een gaatje zit in een systeem, software of wat dan ook.
densoN
@Mosin30 augustus 2017 14:42
Verschillende combinaties van maatregelen die ik persoonlijk neem om mijn mail te beschermen:

1. eigen domeinnaam en mailomgeving a 30 euro per jaar
2. catchall ingeschakeld zodat ik op iedere site een uniek mailadres kan gebruiken zonder hiervoor een administratieve handeling uit te voeren. voorbeeld: coolblue@mijndomein.nl
3. uniek wachtwoord voor iedere webpagina
4. lokale wachtwoordmanager (geen lastpass!) voor credentialbeheer. eventueel syncroniseren
5. bugmenot.com raadplegen voor openbare credentials.
6. mailinator.com gebruiken voor e-mail verificatie tijdens registratie van wegwerpaccounts (en toevoegen aan bugmenot.com als je in een vriendelijke bui bent)
7. aparte mailbox voor financiele accounts (bank, hypotheek, paypal, crypto)

Een bijkomend voordeel van catchall is dat je snel ziet waar lekken vandaan komen. Als ik een spam mail ontvang van kruidvat@mijndomein.nl weet ik 100% zeker dat daar een lek zit en kan ik hen waarschuwen en mijn gegevens daar verwijderen.
Mosin
@densoN30 augustus 2017 16:04
Dankje voor je mooie bericht! Met veel dingen ben ik nog niet heel bekend, zeg maar gerust dat ik een noob ben..
Dat laatste stukkie van kruidvat@mijndomein, bedoel je daarmee dat je dan een spam bericht krijg van een adres dat precies op jou adres lijkt?
dakathefox
@Mosin30 augustus 2017 17:33
Dat laatste stukkie van kruidvat@mijndomein, bedoel je daarmee dat je dan een spam bericht krijg van een adres dat precies op jou adres lijkt?
Wat hij bedoelt te zeggen is dat als hij inlogt bij de Kruidvat, hij hiervoor het e-maildres kruidvat@zijneigendomeinnaam.nl gebruikt. Logt hij in bij de Etos, dan gebruikt hij hiervoor etos@zijneigendomeinnaam.nl.

Op het moment dat je dus ineens allemaal spam krijgt op kruidvat@zijneigendomeinnaam.nl, dan weet je direct waar het lek zit. Zou je bijvoorbeeld overal info@zijneigendomeinnaam.nl hebben gebruikt, dan weet je dus niet wie er gelekt heeft: of de Kruidvat of de Etos of desnoods de Volvo-dealer.
Mosin
@dakathefox31 augustus 2017 09:36
Ja, nu snap ik hem! Dat is wel een hele goede :o
Bedankt voor de uitleg.
dakathefox
@Mosin31 augustus 2017 15:53
Ik vond de truc zo handig, dat ik heb besloten om zelf ook een dergelijk mailaccount in te gaan richten.
Friemel
@densoN30 augustus 2017 17:49
Zoiets doe ik ook.

Wel lastig als je ook wilt antwoorden naar dergelijke mailadressen. Ik maak nu steeds identities aan in mijn mailprogramma, zodat ik met het juiste adres kan antwoorden, anders geef je alsnog je echte adres weg.

Als ik een mail krijg op ingbank@geheimdomein.nl, dan kan ik daarmee ook antwoorden. Helaas is dat wel een hoop gedoe, zeker als je veel bedrijven nodig hebt. Vaak is het aantal aliassen per mailadres ook beperkt.
karelvandongen
@Friemel30 augustus 2017 22:52
Binnen Thunderbird kun je het van adres aanpassen, samen met een cachall op het hoofd mail adres.
Friemel
@karelvandongen31 augustus 2017 19:46
Dat heb ik wel geprobeerd, maar dan kwam de mail niet aan. Met identities in TB werkt het wel goed.
Dnomyar96
@densoN30 augustus 2017 19:41
Ik zit er inderdaad ook over te denken om al mijn mail te migreren naar mijn eigen server. Ik heb al een tijdje een server voor een website, waar ook een mailserver bij zit, dus dit kost voor niks meer dan tijd (veel tijd, aangezien ik vrij veel accounts heb op mijn huidige adres).

Maar een apart account voor aparte sites is een interessant idee. Niet alleen is het veiliger (denk ik), het helpt ook om de mails goed gescheiden te houden. Scheelt heel veel zoeken als het anders allemaal in een map terecht komt.
codebeat
@Dnomyar9630 augustus 2017 23:50
Ik deed dat ook maar heb nu een nieuwe modem van Ziggo en nu zijn de email-poorten geblokkeerd, ik kan mailserver meer gebruiken. Waardeloos. Check dat eerst of je ISP dat toelaat. Scheelt wat inspanning mocht het niet werken.

[Reactie gewijzigd door codebeat op 30 augustus 2017 23:51]

rickdtop
@codebeat31 augustus 2017 00:27
Werkt poort 587 ook niet? Of istie server lokaal?
Dnomyar96
@codebeat31 augustus 2017 19:28
Wat kun je precies niet meer doen als die poorten geblokkeerd zijn? Heeft dat alleen effect op als je een client wilt gebruiken? Ik ga waarschijnlijk zelf een client en een webmail bouwen hiervoor, dus ik denk dat ik daar wel omheen kan komen.
AnonymousWP
@Mosin30 augustus 2017 10:22
Helaas niet. Het belangrijkste is om voor belangrijke diensten (en het liefst voor alle diensten) niet een wachtwoord te gebruiken wat je elders al in gebruik hebt. Ik laat dan gewoon lekker een willekeurig wachtwoord genereren door KeePass.
moozzuzz
@AnonymousWP30 augustus 2017 10:25
Ik gebruik de andere oplossing: dankzij mijn eigen domein vul ik voor elke aanmelding een ander emailadres in (vb voor t.net is dat tweakers.net@....). Zo beperk ik mijn lijst actief gebruikte pwds zonder extra tools :^).
Mr.Monk
@moozzuzz30 augustus 2017 10:49
je kan ook aan ander truucje gebruiken om te achterhalen wie de e-mails verkoopt/vertrekt.

je kan bv het volgende doen: je hebt een gmail adres randomxx@gmail.com
als je een mail stuurt naar randomxx+tweakers@gmail.com, komt deze gewoon aan in je randomxx@gmail.com, niet alle websites ondersteunen dit overigens.

Je kan dus een account aanmaken op tweakers met als inlognaam randomxx+tweakers@gmail.com, dit kan je ook doen voor bv randomxx+televaag@gmail.com

als je spam krijgt met als recipient adress randomxx+televaag@gmail.com, weet je dat het bedrijf waar je televaag hebt gebruikt niet sober is.

sowieso een tip: Laat nooit je e-mail adres achter. Gebuik bv 10minutemail :)
xiphoid
@Mr.Monk30 augustus 2017 11:47
Jij gaat je paypal en facebook registratie met een 10m email doen? suc6 :)
Mr.Monk
@xiphoid30 augustus 2017 12:15
Nee duh, maar als jij voor een tooltje oid perse een "werkend" email moet achterlaten om je account te activeren is het wel heel erg handig.
moozzuzz
@Mr.Monk30 augustus 2017 11:57
De + is een truckje dat makkelijk te omzeilen is door harvesters (en niet elke website aanvaardt emailadressen met een +).
Thijsmans
@moozzuzz30 augustus 2017 10:34
Met gmail kun je hetzelfde bereiken door [jouwgmail]+site@gmail.com te gebruiken. Bijvoorbeeld thijsmans+tweakers@gmail.com. De +-tag wordt door gmail genegeerd. Ook handig omdat je dan, als je spam ontvangt, weet bij wie het adres vandaan komt :)
Aikon
@Thijsmans30 augustus 2017 11:40
Dat weet natuurlijk ook elke spamboer en die negeert dus ook dat +-gedeelte en heeft vervolgens het echte mailadres.
ariekanari
@Thijsmans30 augustus 2017 10:43
Dat is inderdaad een mogelijkheid maar veel webformulieren accepteren geen +-teken in een e-mailadres of accepteren geen tijdelijk of eenmalig e-mailadres. Door deze vrij eenvoudige uitsluitingen kunnen ze toch relatief veel valide e-mailadressen vergaren.
SteveWoz
@ariekanari30 augustus 2017 11:34
Klopt, maar je kunt ook bij Gmail met een of meerdere "." (punt) in je emailadres werken. Zo kun je bij bepaalde websites bijv. S.tevewoz@gmail.com gebruiken. Mocht spam binnenkomen via dat e-mailadres dan heb je een idee waar het vandaan komt (en je kunt natuurlijk regels opstellen voor het filteren van email dat naar dit adres gestuurd wordt).
low_n_slow
@SteveWoz30 augustus 2017 12:31
-nevermind nog niet wakker-

[Reactie gewijzigd door low_n_slow op 30 augustus 2017 12:33]

mithe
@Thijsmans30 augustus 2017 10:39
Alleen niet alle websites accepteren dat. En hier is makkelijk omheen te werken.
StephanVierkant
@Thijsmans30 augustus 2017 11:39
Helaas zijn er websites die dit niet toestaan. Ondanks dat het wel toegestaan is in RFC 3696 en RFC 5233:
Without quotes, local-parts may consist of any combination of
alphabetic characters, digits, or any of the special characters

! # $ % & ' * + - / = ? ^ _ ` . { | } ~

period (".") may also appear, but may not be used to start or end the
local part, nor may two or more consecutive periods appear. Stated
differently, any ASCII graphic (printing) character other than the
at-sign ("@"), backslash, double quote, comma, or square brackets may
appear without quoting. If any of that list of excluded characters
are to appear, they must be quoted. Forms such as

user+mailbox@example.com
Ik schrijf meestal dat soort websites aan dat ze niet voldoen aan de standaard, maar als ik al antwoord krijg, is het vaak een nietszeggend antwoord waaruit blijkt dat ze het zelf niet echt snappen. Dat zijn overigens vaak bedrijven die ook het aantal tekens van een wachtwoord maximeren, en andere regels die het hackers gemakkelijker en gebruikers moeilijker maken.
R-J_W
@Thijsmans30 augustus 2017 18:39
De +tag is bruikbaar bij de meeste emailproviders.

Wat wel specifiek voor gmail is, is dat je varianten op je emailadres met punten kunt maken. Gmail wijst alle varianten met punten toe aan dezelfde account.
Dus t.h.ijsmans@gmail is gelijk aan thijsman.s@gmail

Een andere optie is vaak het gebruik van hoofdletters in het naam deel (voor de @). Volgens de standaard zijn dit niet zo, maar de meeste providers behandelen dit als dezelfde adressen.

Het grote voordeel van de .-varianten bij gmail is dat deze door eigenlijk elke site in die form geaccepteerd en verwerkt worden. Waar de + nogal eens geweigerd wordt en sommige sites alles lowercase maken.
SB[NL]
@moozzuzz30 augustus 2017 10:44
Precies.
Zo doe ik dat al jaren idd.
Daardoor was de rip van de Adobe database vrij makkelijk op te lossen destijds: De oude verwijderen en een nieuwe aanmaken en wijzigen in je account bij Adobe

Niet vergeten je catch-all uit te schakelen en bij een reply of een nieuwe mail hetzelfde adres als verzender gebruiken anders verspreid je alsnog je echte mailadres :(

Tis wel lastig dat je telkens uitleg moet geven dat het adres echt klopt en waarom je dat doet en het kost extra werk.

Ik hou zo een hoop tegen, maar de mensen die jouw persoonlijke adres hebben (soms moet je wel) blijven een zwakke plek. Heb daardoor wel personen en bedrijven kunnen waarschuwen voor hacks van hun mailaccount.

Daarnaast is het voor klantmail wel makkelijk om het met rules in outlook goed te organiseren per klant en onthouden klanten makkelijker je mailadres.
moozzuzz
@SB[NL]30 augustus 2017 11:59
Tis wel lastig dat je telkens uitleg moet geven dat het adres echt klopt en waarom je dat doet en het kost extra werk.
Klopt, bij instanties waarbij mensen daadwerkelijk de gegevens gebruiken om dan via een "oldskool" emailprogramma je te proberen bereiken, die kijken wel eens op of bellen of denken dat het een hack-poging is...
AnonymousWP
@moozzuzz30 augustus 2017 10:26
Dat is inderdaad ook érg handig. Spam boeit mij niet zoveel, zolang het maar in de spambox komt :). Meeste wordt toch gefilterd.
vosManz
@moozzuzz30 augustus 2017 10:37
Bij de grotere maildiensten (iig Outlook.com en Gmail) kun je ook aliassen gebruiken hiervoor. Zo kun je met één mailbox toch meerdere mailadressen gebruiken. Door een '+' in je eigen mailadres te gebruiken hoef je niet iedere alias apart aan te maken.

Bijvoorbeeld, stel mijn mailadres is test@hotmail.com. Als ik voor tweakers dan een uniek mailadres wil gebruiken kun je er test+tweakers@hotmail.com van maken. Mails die verstuurd worden komen dan in je test@hotmail.com mailbox aan. Indien gewenst kun je die op basis van regels weer filteren of automatisch verplaatsen naar mapjes.

Op de site van Outlook.com kan ik niets over deze feature vinden, maar het werkt wel (ik gebruik het zelf bij Outlook.com). Gmail heeft er wel info over:
https://support.google.com/mail/answer/22370?hl=nl (onderaan, Gmail-aliassen gebruiken)
xiphoid
@moozzuzz30 augustus 2017 11:42
Maar als iemand een target van je maakt is je lijst met emails voorspelbaar, als ik in een leak facebook.com@example.com tegenkom kan ik gokken dat jezelfde wachtwoord ook werkt op paypal.com@example.com ~ en als je misschien ook je wachtwoord hebt als wachtwoord-tweakers.net-2017 dan is het misschien wachtwoord-paypal.com-2017 (or 16)

Het is een goede extra stap, maar zeker niet handig als het voorspelbaar is.
CivLord
@moozzuzz30 augustus 2017 11:53
Dat is erg handig, totdat er een beetje intelligentie ingebouwd wordt of totdat iemand de lijst zelf analyseert.

Wanneer je weet dat ergens tweakers.net@... met een bepaald wachtwoord is gebruikt, is de kans groot dat twitter.com@... en facebook.com@... met datzelfde wachtwoord een winnende combinatie is.
Ik zou juist zo'n lijst doorzoeken op de namen van websites of diensten in de gebruikersnaam, omdat de kans dat iemand die dat doet overal hetzelfde wachtwoord gebruikt nog groter is dan normaal. (Wachtwoorden met herkenbare sites of diensten erin verwerkt zouden ook mijn aandacht trekken.)
tweazer
@moozzuzz30 augustus 2017 15:01
Ik gebruik dezelfde methode. Had echter bijna de bewaking van pretpark drievliet achter mij aan omdat de kassiere vond dat ik het email adres van drievliet had gestolen toen ik drievliet@mijndomeinnaam.nl had opgegeven. supergeheim@mijndomeinnaam.nl gebruiken maakte dat het kinderfeestje met een sisser afliep.

Bij gmail kun je prefix.echteemailadres@gmail,com gebruiken met prefix willekeurige onzin die je relateert aan het gebruik.
R-J_W
@tweazer30 augustus 2017 19:00
Je gmail voorbeeld werkt voor mij niet.

Het lijkt me ook onwaarschijnlijk want zo kun je door jansen@gmail,com te registreren alle mogelijke combinaties als janjansen, pierterjansen etc. afvangen ...

Wat wel werkt bij gmail, is dat deze punten in het lokaal adres deel negeerd. Daardoor worden alle varianten zoals j.ansen; jan.sen; etc. gekoppeld aan dezelfde account.
Vooral nuttig is dat deze varianten door elke website zo worden geaccepteerd en verwerkt.
aliberto
@moozzuzz30 augustus 2017 11:27
Wanneer ik websites nog niet goed ken, maak ik gebruik van tijdelijke e-mail adressen die zeg maar 1 uur bestaan. Deze sturen post van desbetreffende website van hoe interesse door naar jouw echte e-mail adres.

Ik heb ook wel eens via deze methode vele prijzen gewonnen (waaronder hoofdprijzen) bij een plaatselijke shoppingmal in Mortiere Middelburg toen ze 5 jaar bestonden. Je moest toen e-mail adres opgeven en dan uitgeprinte streepjescode scannen om te zien of je prijs had bij Groenrijk. Ik had geen prijs. Toen maar ervoor gezorgd dat ik wel ging winnen }>

Ik vertelde het tegen vrienden en die vonden het geniaal en gingen het plan kopiëren.

[Reactie gewijzigd door aliberto op 30 augustus 2017 11:30]

Mosin
@AnonymousWP30 augustus 2017 13:35
Dat zou wel slim zijn inderdaad.
Meende dat KeePass online is, maar het is een progje voor op de PC, als ik het zo even snel zie.
Direct maar eventjes erop zetten!
maniak
@Mosin30 augustus 2017 10:25
Unieke wachtwoorden per account/website. 2FA aanzetten waar mogelijk. Zo beperk je de schade het meest.
Mosin
@maniak30 augustus 2017 13:25
Het is natuurlijk wel slim om dat te doen. Maar komt dit omdat deze mensen via je wachtwoord meerdere accounts willen hacken of hoe moet ik dat precies zien? Want in principe kan deze meneer mijn wachtwoord niet zien. Of kunnen ze via spam tools installeren waarmee ze dit wel kunnen?

[Reactie gewijzigd door Mosin op 30 augustus 2017 13:35]

R-J_W
@Mosin30 augustus 2017 19:09
De, volgens mij, meestvoorkomende situatie is via gehackte websites.
Als een website door slordigheid, opzettelijk of nadat deze gehacked is, je wachtwoord gewoon als tekst of met een zwakke versleuteling opslaat.
Vervolgens kan het gebruikte emailadres met dat wachtwoord natuurlijk op meerdere websites getest worden.

Daarnaast zijn er natuurlijk alle spammailtjes die je vragen bij je bank, games, etc. in te loggen omdat je account gecontroleerd moet worden.
Als je dat doet ben je die gegevens ook kwijt.
Mosin
@R-J_W31 augustus 2017 09:39
Dus toch het afgaan van websites met je e-mail en wachtwoord.
Maar is een mail van Steam dan per se Spam of bedoelen ze meer van onbekende games. Bij bankzaken is dit phising, toch?
dasiro
@Mosin30 augustus 2017 11:35
Is er uberhaupt een mogelijkheid jezelf hier 100% tegen te beschermen?
geen mails sturen of ontvangen. Je mailadres is géén privé-gegeven, maar gewoon een contactadres, net zoals eender wie bij je in de brievenbus reclame kan komen steken. Eens een andere persoon je adres kent, kan het van daaruit verder gestuurd, gelekt of gestolen worden
Mosin
@dasiro30 augustus 2017 13:26
Inderdaad. Denk dat ik er iets teveel van verwacht op het gebied van privacy. Vooral dat Google zoveel onder handen neemt en heeft zint me niet.. Die kunnen toch alles gaan linken onderling? Dan krijgen ze een prachtig plaatje van wie ik ben.. :(
SteveWoz
@Mosin30 augustus 2017 11:37
Probeer in elk geval het automatisch downloaden van afbeeldingen uit te zetten in je mailclient. Zo voorkom je dat de verstuurder weet dat je de spam email gelezen hebt (en dat het e-mailadres dus actief gebruikt wordt) en meer te weten komt over de gebruiker. Het wordt ook aangestipt in het artikel:
Volgens Benkow werd de op de server aanwezige spambot gebruikt om fingerprinting spam te versturen. Dit betekent dat er in eerste instantie een grote hoeveelheid e-mails die een pixel bevatten, wordt verstuurd. Als de ontvanger de mail opent, maakt zijn systeem verbinding met een achterliggend ip-adres waarop de pixel is gehost. Daardoor kan degene achter de spamcampagne erachter komen welk systeem de ontvanger draait, bijvoorbeeld een mobiel of een desktopbesturingssysteem.
Mosin
@SteveWoz30 augustus 2017 13:28
Bedankt voor de tip! Ik wist dit niet eens, maar ik ben een extreme noob op dit gebied, vandaar dat ik het stukkie tekst ook niet helemaal begreep.
illum1n4ti
@Mosin30 augustus 2017 12:49
Hoi Aquila,

Ik gebruik mijn mail alleen voor de belangrijke zaken; zoals bank, digi id enz, maar overige sites gebruik ik een tijdelijke mail zoals

https://www.maildrop.cc en natuurlijk maak ik gebruik van KeePass om password te genereren.

in the end Who is safe ?? :P
Mosin
@illum1n4ti30 augustus 2017 13:32
Sow, dat was me ook niet bekend. Ideaal natuurlijk! Dit zou tevens een prachtige oplossing voor mijn probleem zijn, aangezien mijn inbox een klere zooi aan vervelende mails is :(
100% veilig blijven lijkt me ook lastig.
xiphoid
@Mosin30 augustus 2017 16:57
Uniek email adres per account, uniek en sterk wachtwoord per account. 2FA aanzetten als de account dit ondersteund, en alles netjes bijhouden in standalone app als 1password, wat je via LAN kan syncen en dus niet online hoeft te doen/delen.

Als je ene login lekt, is het 1 login, en na testen van die email op andere services, werkt het niet, en sowieso je wachtwoord niet.

Wachtwoord door app als 1password laten genereren, en minstens 32 tekens.

Met geheime vragen (security questions) een willekeurige kiezen en dan niet eerlijk zijn, maar ook hier een 32 random char antwoord geven wat Niet overeenkomt met je normale account wachtwoord.

En bijv als het een nieuw jaar is, dan even alles reviewen, doorlopen, en nieuwe unieke sterke wachtwoorden enzo genereren. Mocht er iets lekker, dan werkt het al niet meer.
kimborntobewild
@Mosin30 augustus 2017 16:04
Is er uberhaupt een mogelijkheid jezelf hier 100% tegen te beschermen?
Wat er moet gebeuren is o.a:
-Hogere straffen voor deze zware criminaliteit (mijn part levenslang bij dit soort idioten).
-Veel grotere pakkans. Justitie moet dus bereid zijn meer resources aan te wenden voor opsporing en vervolging. Indien ten koste van iets anders: dan bijv. van de massale financiële vervolging van mensen die te snel rijden?
Mosin
@kimborntobewild30 augustus 2017 16:06
Dat zou een optie zijn natuurlijk. Denk dat het traceren van hun al een mooie stap zou zijn. Alhoewel ik er niet van overtuigd ben dat ze zoiets door voeren. Hoe vaak zie je wel niet dat het foute iets aangepakt wordt, terwijl er heel veel belangrijkere zaken zijn om aan te pakken :(
Sqweekie
30 augustus 2017 10:21
Ik heb even mijn e-mailadressen door de site gehaald waar je kan zien of je pwned bent.

Blijkt dat een van e-mailadressen dus erbij zit en volgens de uitleg komt van een hack ven een spel Evony in 2016. Wel een klein detail, ik ken dat spel niet eens, nooit gespeeld... hoe betrouwbaar is die info dan wel ?
Morelleth
@Sqweekie30 augustus 2017 10:46
Same here. En nog 3 andere chinese websites waar ik nog nooit van mijn leven ben geweest. (en linkedin en adobe en HoN, maar daar wist ik al van)
Maar grote kans dat je emailadres dus ooit daarvoor is gebruikt door een bot of iemand die probeert de boel te flessen of zo.

Maar goed, het betreft toch mijn spammail adres dus ach.

[Reactie gewijzigd door Morelleth op 30 augustus 2017 10:47]

CivLord
@Morelleth30 augustus 2017 12:08
Voor de bron zijn ze vaak afhankelijk van de gegevens van de hacker. Wanneer die bv. via één dienst/ website op een gedeelde dienst/ server terecht komt en alles onder de naam van één dienst wegschrijft, dan staan jouw gehackte gegevens onder die naam in de database.

Veel webshops hanteren meerdere namen of hebben voor verschillende categorieën artikelen een andere URL. Achter de schermen is het één webshop, met één database. Een hacker die via XYZgummetjes.nl binnenkomt ziet ook alle data van XYZpuntenslijpers.nl en XYZpotloden.nl. En uiteraard hoeven die namen niet op elkaar te lijken.
CheapChina.cn GoodproductsChina.com en Goodproducts.cn die elk op dezelfde website met een ander labeltje terechtkomen werkt net zo goed. Dan heb je een keer iets bij CheapChina.cn besteld en daar je emailadres achtergelaten en zijn je gegevens via een hack van Goodproducts.cn buitgemaakt.
xiphoid
@Morelleth30 augustus 2017 11:47
Iedereen kan registreren op elke website met jouw email adres, of de registratie lukt is een tweede. Maar je staat dan wel in die database. Veel mensen registreren hun ex of wat dan ook bij porn sites zodat ze gepest worden met de nieuwsbrief emailtjes - ookal heb je nog geen confirmed-email registratie. En als je email uitlekt, dan sta je natuurlijk ook op die lijst bij troy. Maar wilt niet zeggen dat het met jouw wachtwoord was.
Stoelpoot
@Sqweekie30 augustus 2017 11:06
Heel betrouwbaar wat mij betreft. Maker van die site is Troy Hunt, security professional, Microsoft partner en overall iemand met een uitgebreid security portfolio.

Zoals @Morelleth al zegt gaat het dan waarschijnlijk om iemand die jouw email adres heeft gebruikt om een account aan te maken voor die game.
xiphoid
@Sqweekie30 augustus 2017 11:35
Ik heb mijn vrienden en familie er doorheen gehaald en er was ooit een leadedinfo site waar je ook de wachtwoorden erbij kon opvragen (had niets met troy's site te maken) en de vrienden/familie schrokken ervan dat hun wachtwoorden idd hun (oude) wachtwoorden waren.


In dit geval, deze dump is het voor mij onduidelijk of de match van mijn email dan ook een match was waar een wachtwoord bij was of gewoon een email scrape.
supersnathan94
30 augustus 2017 10:18
En daarom heeft tweakers je e-mailadres dus als slecht gerenderd plaatje beschikbaar zonder :Mailto link of alt tekst.
PolarBear
@supersnathan9430 augustus 2017 10:26
Dat was tien jaar geleden afdoende, voor een beetje scraper is een stukje ocr om e-mailadressen te herkennen natuurlijk vrij triviaal om te implementeren.
Stoelpoot
@PolarBear30 augustus 2017 11:03
Maar ga je dat maken voor een scraper voor die 1 of 2 websites die het gebruiken? Ik zie er het nut niet van.
Wraldpyk
@Stoelpoot30 augustus 2017 11:42
ocr werkt universeel. Als je eenmaal een ocr gemaakt hebt voor email adressen dan kun je die op elke site toepassen. Vrij triviaal.
Stoelpoot
@Wraldpyk30 augustus 2017 11:44
Maar voor hoe veel sites heb je die dan uberhaupt gemaakt? En hoe veel langer zal dat duren om te parsen dan pure tekst, als je blijkbaar op zo veel andere websites dit niet hebt, en dus wel zomaar emails vanaf kan scrapen? Mij lijkt het me niet waard.
Wraldpyk
@Stoelpoot30 augustus 2017 11:48
Je hoeft er maar 1 te maken, en zoals iemand anders zei is er een afbeelding met de naam email er in.... dat lijkt me het eerste wat je OCR't, en als je dat standaard in een scraper inbouwd dan zit je vrij goed. En dat is slechts 1 van de rules... En als je toch al een site wil scrapen ga je natuurlijk eventjes kijken op de site. Je hoeft maar 1 profiel te bekijken om te weten hoe ze er allemaal uit zien.
NightFox89
@PolarBear30 augustus 2017 10:29
Dit, plus dat het echt onhandig is. We hebben niet voor niets netjes mailto: koppelingen. Je wilt je mailadres toch delen als je hem ergens publiceert?

Zelfde als de captcha's van paar jaar terug. De bots waren inmiddels beter in het uitlezen van die captcha's en voor de rest werden farms opgezet. Maar wel een hele hoop irritatie in de usability bij je klant.
Aikon
@NightFox8930 augustus 2017 11:43
Iets delen voor een beoogde ontvanger is iets anders dan delen voor elke bot die voorbij komt lopen. Als je je adres in het clubblaadje zet is dat ook iets anders dan in de Telegraaf. Dat werd destijds voorkomen met het gebruik van plaatjes, mede-tweakers zagen je mail maar robots niet.
supersnathan94
@PolarBear30 augustus 2017 10:43
Ik heb even gekeken in de paginabron. Als je als img src "/ext/emailadres/" gebruikt met als alt tekst "spam safe!" Dan heeft iedere scraper dat natuurlijk gelijk door |:(

Ik dacht dat ze wel iets beter hadden nagedacht over het geheel. Vooral ook doordat de getter met incrementals werkt.
Torgo
30 augustus 2017 10:24
Oh no — pwned!
Pwned on 9 breached sites

Geen wonder dat ik zoveel spam krijg.

Staat al een tijdje op mijn ToDo om mijn meest voorkomende passwords weer eens te wijzigen, moet ik maar eens echt doen. :)
cracking cloud
@Torgo30 augustus 2017 10:38
je kan meteen checken of je wachtwoord ooit al een keer in een lek naar voren is gekomen, dan weet je zeker dat je die niet meer moet gebruiken.
Torgo
@cracking cloud30 augustus 2017 10:40
Dat is een goede tip, dat zag ik ook. Mijn meest gebruikte wachtwoord staat er gelukkig niet bij.
erwinb
@Torgo30 augustus 2017 10:58
dus je hebt net bij pwned en je e-mail adres ingetikt en je meest gebruikte passwords.
Ik hoop maar dat pwned niet al te veel logt :-)
Morelleth
@erwinb30 augustus 2017 11:14
Ze hebben het er nota bene bij staan. Geen actief wachtwoord bij 3e partijen checken/afgeven ook niet bij hunzelf.

Maar goed als je geen unieke wachtwoorden gebruikt (dus alleen de simpele dingen als naam en data oid), dan zal die sowieso wel een keer in de database met gebruikte wachtwoorden voorkomen. Dus weet niet of dat veel zegt.
Stoelpoot
@Torgo30 augustus 2017 12:01
De mijne ook! Gelukkig had ik die ook maar 1x gebruikt, net als de rest van mn passwords ;)
xiphoid
@cracking cloud30 augustus 2017 11:43
In 1Password kun je ook sorteren op meest gebruikte wachtwoorden, kan men alvast beginnen met de top10 aan te passen.
Morelleth
@xiphoid30 augustus 2017 11:59
Heb er nog nooit gekeken, maar ik gok op:

Password
Pasword01
Wachtwoord
1234
12345
123456
12345678
87654321
etc.

Oftewel, de "ik wil graag alles delen met de wereld" wachtwoorden en vul maar iets in omdat het moet.
Maar daar hoef je dan ook geen medelijden mee te hebben.
xiphoid
@Morelleth30 augustus 2017 12:12
Je kunt er zelf naar kijken: https://www.troyhunt.com/...loadable-pwned-passwords/ en er zijn genoeg sites die SHA1 decryption aanbieden. (Alle troy wachtwoord-hashes zijn exported in all caps btw)
Daisai
@cracking cloud30 augustus 2017 11:27
Hoe waarschijnlijk is het dat de website alle passwords die via die check invoert opslaat ?
xiphoid
@Daisai30 augustus 2017 11:54
Als Troy ooit gehacked wordt en die database lekt uit, dan weten we het antwoord met 100% zekerheid :)
Maar het is net zo zeker als een officiele grote corp in nederland die op zijn site zet dat ze het met military grade encryption opslaan en niemand bij je wachtwoord kan (en dan lezen we op troy's site wel een keertje dat dit dus niet het geval is).
cracking cloud
@Daisai30 augustus 2017 12:12
Je kan het bestand ook zelf downloaden en dan ff ctrl+f doen (maar notepad++ verslikt zich in een bestand van 5 GB) :)
xiphoid
@Torgo30 augustus 2017 11:39
Wat ik mijn vrienden/familie altijd adviseer is gewoon 1password (standalone en syncen via LAN) te gebruiken en de eerst volgende keer als je naar facebook gaat, je wachtwoord te veranderen en dan even extra minuutje nemen om ook je geheime vragen te veranderen, je account security even door te nemen. Dan weet je zeker dat die site ondanks eventuele leak in verleden of heden niet het nieuwe wachtwoord heeft. Maar als ze denken dat hun wachtwoord bekend is, ze van the ground up even een reset moeten doen. Beginnende met je hoofd email adres waar je via reset andere accounts kunt resetten om te garanderen dat er niet iemand in dat email adres zit die vervolgens ook een reset kan uitvoeren. Na je email de belangrijke dingen zoals digiID, je bank, paypal, etc, en daarna de meest gebruikte sites. het is een minuutje per site om het met een password manager aan te passen. En kleine moeite om grotere hoofdpijn te voorkomen in de toekomst.

Tevens cyclen we ook onze credit card nummers jaarlijks, mocht er iets lekken volgend jaar van 2017, dan werkt het niet meer in 2018.

En natuurlijk 2FA :)

[Reactie gewijzigd door xiphoid op 30 augustus 2017 11:39]

callous
30 augustus 2017 11:13
En is het niet zo dat als je zoekt, dat je daarmee de database alleen maar groter maakt? want doorgaans zoeken mensen op hun eigen email adres en die werkt dus... dus je verspreid op die manier alleen maar werkende email adressen...

hoe slim is dat? hoe betrouwbaar is dit allemaal? weten we dat en zo ja, hoe dan?
AnonymousWP
@callous30 augustus 2017 11:17
De database wordt opgeslagen in een database van Microsoft Azure. Als je je twijfels hebt, kun je je hier uitschrijven (opt-out): https://haveibeenpwned.com/OptOut

Hier hoe het allemaal begon in Microsoft Azure: https://www.troyhunt.com/...h-154-million-records-on/
callous
@AnonymousWP30 augustus 2017 11:19
ook met uitschrijven bevestig je het bestaan van je email adres... :)
AnonymousWP
@callous30 augustus 2017 11:20
Ja, eenmalig ja. Daarna wordt het dus gewoon van de server gehaald.
JKP
@AnonymousWP30 augustus 2017 11:33
Wat 'callous' bedoeld is, dat het uitschrijven geen enkele garantie biedt dat je gegevens niet alsnog bewaard worden. Gezien de voornaamste aanleiding voor uitschrijven enig wantrouwen tegenover deze site zal zijn is dat dus niet de beste manier. Het is vermoedelijk nog het beste om je 'verlies' te aanvaarden.

[Reactie gewijzigd door JKP op 30 augustus 2017 11:34]

AnonymousWP
@JKP30 augustus 2017 11:35
Dat vind ik onzin. Troy Hunt is één van de bekendste beveiligingsonderzoekers. Hem kan je echt wel vertrouwen. Als je hem niet vertrouwt, kan je letterlijk niemand vertrouwen..

Meer info over hem: https://www.troyhunt.com/about/
JKP
@AnonymousWP30 augustus 2017 11:40
Dat ben ik persoonlijk helemaal met je eens (wat hierboven staat is niet zoals ik er tegenaan kijk) Het punt is als je het om de een of andere reden niet vertrouwt, los je dat niet op door uit te schrijven. Een andere reden dan achterdocht/wantrouwen voor uitschrijven zie ik ook niet echt.
Zenomyscus
@AnonymousWP30 augustus 2017 12:34
En toch moeten ze opslaan dat je voor de opt-out hebt gekozen. Anders sta je er later misschien weer in. Op die manier sta je er dus altijd in. Daarnaast, leuk dat deze site het aanbiedt.. Maar straks mag ik op 20 sites een opt-out invullen en bestaan er nog 20 anderen die ik niet ken. Die verzamelwoede, ook van Troy Hunt, vind ik niet prettig. Hij bedoelt het goed, maar er zijn velen die net als ik gewoon nergens een database willen staan.
devil-strike
30 augustus 2017 10:41
Dat verklaar denk ik dat vele ineens berg spam krijgt van zeeman tot weet ik veel wat.
hellknight
@devil-strike30 augustus 2017 10:45
herkenbaar - sinds een paar maanden, Zeeman, Mediamarkt, NS, AH, etc - allemaal nederlandstalige spam
Luno
@hellknight30 augustus 2017 14:34
Ik betwijfel of AH, NS etc zelf spam sturen. Het mag in Nederland niet ongevraagd, en deze bedrijven zullen zich wel aan de wet houden.
Oftewel je krijgt wel spam, maar met fake afzender AH, NS etc.
hellknight
@Luno30 augustus 2017 15:08
I know - die emails komen zeer zeker niet van die bedrijven, maar "namens" die bedrijven (als je goedgelovig bent, that is)
preske
30 augustus 2017 13:18
in verband met die tracking pixel. Thunderbird blokkeert bij mij alle afbeeldingen, tenzij van vertrouwde afzenders. Ben ik nu veilig(er), of is dat het nutteloos?
WhatsappHack
@preske30 augustus 2017 14:35
Nee dat gaat wel degelijk tracking tegen. :) Ik blokkeer het in Apple’s Mail.app ook, kies er zelf wel voor of ik plaatjes wil laden. Op mobiel is dat echter helaas nog niet mogelijk. ;(
JKP
@WhatsappHack30 augustus 2017 14:48
Op mobiel is dat echter helaas nog niet mogelijk
Tenzij je het specifiek hebt over de Mail app van Apple, maar anders kan het in de app van GMail in elk geval wel. Standaard worden afbeelding niet weergegeven. Pas nadat ik 'toestemming' heb gegeven komen ze door. Nog een keer tikken en ze komen bij een specifiek mailadres standaard door (iets wat ik afraad).

[Reactie gewijzigd door JKP op 30 augustus 2017 14:50]

preske
@WhatsappHack30 augustus 2017 15:18
vetjes, thanks
WaterFire
30 augustus 2017 10:19
(Nog) geen mail gekregen van HaveIBeenPwned, dus geen probleem deze keer.
Dat het een Nederlandse server is wil natuurlijk ook niet zeggen dat het een link met iets Nederlands heeft, maar de titel trekt meteen extra aandacht..
xiphoid
@WaterFire30 augustus 2017 11:33
het zal wel gewoon een leaseweb IP zijn van iemand die compromised servertje heeft - ip kan puur in NL geregistreerd zijn, maar door iemand uit china misbruikt worden. Het zegt inderdaad niets over de eigenaar van die hosting account.
sapphire
30 augustus 2017 10:40
Interessant van die SMTP-servers.

Zou kunnen verklaren waarom ik spam krijg wat afkomstig is van bv. postnl.nl en andere legitieme sites onder een subdomein adres :(
Blokker_1999
@sapphire30 augustus 2017 10:52
Dat er postnl.nl staat wil niets zeggen. Enkel als het ook effectief van hun servers komt is er een breach. Ik kan als ik wil mail versturen met als afzender het mail adres van dobald trump zonder dat ik daarvoor ook maar iets moet hacken.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee