Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Nederlanders betaalden zeven bitcoin aan criminelen achter webcambeeldenscam'

Nederlandse slachtoffers van een scam waarbij in een e-mail wordt geclaimd dat er beelden via hun webcam zijn opgenomen, hebben in totaal zeven bitcoin betaald aan de criminelen achter de campagne. Dat claimt RTL Nieuws op basis van eigen onderzoek.

Daarmee komt het bedrag dat de criminelen hebben binnengehaald, uit op iets meer dan 37.000 euro. RTL Nieuws onderzocht de verschillende bitcoinadressen die in de Nederlandstalige mails worden genoemd en bracht de betalingen over verschillende weken in beeld. In de mail staat: "Ik hou je al een tijdje in de gaten omdat ik je gehackt heb door middel van een trojan virus in een advertentie op een porno website." Vervolgens eist de afzender een bedrag van duizend euro in bitcoins. Wordt dat niet betaald, dan dreigt de afzender een opgenomen video naar alle contacten van het slachtoffer te sturen.

"Zo heb ik ook toegang gekregen tot al je contactpersonen. Ik heb een video gemaakt waarop te zien is hoe jij jezelf bevredigt op de linker helft van het scherm en op de rechter helft zie je de video waar jij naar keek", aldus de e-mail. Volgens RTL lijkt de e-mail afkomstig te zijn van het adres van de ontvanger zelf doordat de criminelen gebruikmaken van spoofing. Dat zou bijvoorbeeld tot gevolg hebben dat deze e-mails bij klanten van KPN en Ziggo in de inbox terechtkomen. De providers zeggen tegen RTL aan maatregelen te werken die dit kunnen voorkomen.

Het Nederlandse Bitonic, dat de verkoop van bitcoins faciliteert, zegt veel reacties te krijgen van mensen die de e-mail hebben ontvangen. Het bedrijf zegt zoveel mogelijk transacties naar de adressen van de criminelen tegen te houden. Ondanks de waarschuwingen van het bedrijf zouden mensen soms alsnog bitcoins willen overmaken omdat ze ervan overtuigd zijn dat ze zijn gehackt, aldus RTL.

Een soortgelijke scamcampagne werd eerder ook al gesignaleerd met Engelstalige e-mails. Daar waarschuwde de Fraudehelpdesk eerder dit jaar al voor. In die campagne gebruikten de criminelen een wachtwoord van de ontvanger in de e-mail om deze echter te laten lijken. Dat wachtwoord was dan hoogstwaarschijnlijk weer afkomstig uit uitgelekte databases van grote diensten, zoals LinkedIn.

Door Sander van Voorst

Nieuwsredacteur

11-10-2018 • 15:56

187 Linkedin Google+

Reacties (187)

Wijzig sortering
Vergelijk het met de analoge post.. Je weet wel die papieren brieven waar je je adres handmatig opzet. Wie houd jou tegen om hier op te zetten dat die van de buurman afkomt, i.p.v. jou zelf?

Meestal is dat vrij onzinnig, aangezien je ook antwoord wil op je brief, en dan heb je er weinig aan om het adres van je buurman er op te zetten. Maar werkt perfect om je buurman te imiteren.

Dit werkt met meerdere dingen zo op het internet, zoals ook al het IP verkeer. Je kan zomaar een IP (bv udp) packet het internet op slingeren, afkomstig van een willekeurig IP address. Wederom, heb je vaak ook een reactie van de andere kant nodig, dus heb je er zelden wat aan. Daarnaast filtert een beetje provider dit er gelukkig uit ;).

In de tijd dat het internet werd ontwikkeld is niet na gedacht over dit soort praktijken, dus zijn er later allerlei verificaties bedacht, maar die zijn niet altijd overal hetzelfde noch hetzelfde geimplementeerd.
Bekijk het vanuit het oogpunt van grote organisaties. Daarin is het niet ongebruikelijk dat een assistent stuurt namens iemand anders of dat juist een assistent alle antwoorden eerst moet ontvangen. Het is (mede) daarom in het SMTP protocol mogelijk om van alles in de verschillende 'from', 'reply-to', etc adressen te plaatsen.
Spf helpt je ook maar deels, om dit goed tegen te kunnen gaan moeten alle versturende domeinen spf, DKIM en dmarc inrichten. Vervolgens moet de ontvangende partij dit ook controleren. Dit doen er echter maar vrij weinig helaas.

Punt met deze mail, ookwel ceo fraud genoemd is dat de afzenders gebruik maken van het feit dat de mail from: (ookwel return path / envelope from ) en de from: niet gelijk hoeven te zijn. Door in de mail from een afzendadres te gebruiken die spf correct is kan je in de from: elk willekeurig adres gebruiken. Zonder DKIM en dmarc in place komt dit gewoon aan. En aangezien mailclients kijken naar de "from:" zal het net lijken alsof de mail daar vandaan komt. (als je de header bekijkt zul je daar dan wel zien dat de return path / envelope from anders is.)

[Reactie gewijzigd door 3dmaster op 11 oktober 2018 16:44]

De email lijkt afkomstig van je eigen email, dus als je iets terug stuurt dan komt die alleen in je eigen inbox terecht :)
ziggo doet geen reverse DNS, dat heb ik bewezen in onderstaande test

ik kan dus een virtueel linux machientje opzetten en email sturen alsof het lijkt te komen van mijn.overheid.nl (als voorbeeld)
domeinnaam die ik servertje geef kan dus ook mail.ziggo.nl zijn, dat is wat er waarschijnlijk is gebeurt
domein klopt niet met IP adres, zie onder
mail kwam gewoon aan in mijn ziggo inbox
zie onder mailheader, (ik heb mijn IP en mailadres even veranderd)
Return-Path:
Delivered-To: mijn-email@ziggo.nl
Received: from md7.tb.mail.iss.local ([212.54.42.140])
by mc22.tb.mail.iss.local with LMTP id QKgtDXr5WVt5cQAAtN5Bhg
for ; Thu, 26 Jul 2018 18:40:26 +0200
Received: from mx12.tb.mail.iss.as9143.net ([212.54.42.140])
by md7.tb.mail.iss.local with LMTP id EP1lBXr5WVtQBQAAEOq9SA
; Thu, 26 Jul 2018 18:40:26 +0200
Received: from [88.130.97.73] (helo=mijn.overheid.nl)
by mx12.tb.mail.iss.as9143.net with esmtp (Exim 4.86_2)
(envelope-from )
id 1fijIR-0000jV-CG
for mijn-email@ziggo.nl; Thu, 26 Jul 2018 18:39:23 +0200
Received: by mijn.overheid.nl (Postfix, from userid 0)
id 41DA460B228D; Thu, 26 Jul 2018 18:39:23 +0200 (CEST)
Message-Id:
Date: Thu, 26 Jul 2018 18:39:20 +0200 (CEST)
From: root@mijn.overheid.nl (root)
X-Ziggo-spambar: /
X-Ziggo-spamscore: 0.0
X-Ziggo-spamreport: CMAE Analysis: v=2.3 cv=Ct0LjUwD c=1 sm=1 tr=0 a=FjO6RPLpbqoeGgfsLK/qtA==:17 a=9cW_t1CCXrUA:10 a=s5jvgZ67dGcA:10 a=R9QF1RCXAYgA:10 a=nS36O97Bj3wUElCrIrAA:9
none
X-Ziggo-Spam-Status: No
X-Spam-Status: No
X-Spam-Flag: No

[Reactie gewijzigd door klaas de Zwart op 11 oktober 2018 16:53]

Dat is een beetje een typische reactie die altijd komt als de argumenten op zijn. Als ik kijk naar de talloze nieuwsbrieven die ik krijg: Albert Heijn, Lidl, Aldi, etc. is dat allemaal externe content die middels externe links wordt embed. Dat lijkt me wel bron genoeg.

Hier een willekeurige e-mail omdat ik nu toch even aan het wachten ben:

Zonder externe afbeeldingen:
https://i.imgur.com/q48xPnS.png

Met externe afbeeldingen:
https://i.imgur.com/zKDXjPi.png

De boel verspringt, de helft van de functionaliteit is niet eens aanwezig. En inhoud die op plaatjes staat is niet te lezen.

[Reactie gewijzigd door MsG op 11 oktober 2018 19:07]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True