FluBot-malware treft België opnieuw, providers onderscheppen 14 miljoen sms'jes

Telecomproviders Telenet, Proximus en Orange hebben 14 miljoen frauduleuze sms'jes onderschept die een link naar de FluBot-malware bevatten. Ook blokkeerden ze tijdelijk tweeduizend nummers. Dat schrijft VTM Nieuws. In mei ging de malware ook al rond in België.

Volgens VTM Nieuws werd België in de afgelopen week 'overspoeld met frauduleuze sms'en'. Dagelijks onderscheppen Telenet, Proximus en Orange samen ongeveer twee miljoen berichten met een link naar de FluBot-malware. Het is de tweede keer dat de malware rondgaat in België. In mei waarschuwden de Belgische telecomwaakhond BIPT en het Centrum voor Cybersecurity België ook al voor een 'tsunami aan smishing-berichten'.

FluBot-malwareIn mei zat de malware in een bericht dat afkomstig leek van postbedrijf Bpost. Nu zit het in een bericht dat afkomstig lijkt van DHL, schrijft VRT. Het bericht meldt dat een pakket onderweg is en vraagt de ontvanger een Android-app te installeren, die is besmet met de malware. De FluBot-malware krijgt na installatie volledige controle over de telefoon en is uit op onder meer creditcardgegevens. Als gebruikers de app downloaden, wordt vanuit de naam van de gebruiker smsjes verstuurd naar contacten. Ook kan de malware berichten lezen en phishingwebsites laden wanneer er een bankapplicatie wordt opgestart.

De app kan niet worden verwijderd, als deze eenmaal aanwezig is op de telefoon. Het enige dat helpt is de telefoon terug te zetten naar de fabrieksinstellingen, of de telefoon te herstarten in 'safe mode'. Dan kan de app wel verwijderd worden. Het is nog steeds niet bekend wie er achter de malware zit. De malware trekt al enkele maanden door Europa. In mei waarschuwde de Nederlandse politie ook voor FluBot.

Door Stephan Vegelien

Redacteur

14-09-2021 • 08:15

128

Submitter: edeboeck

Reacties (128)

Sorteer op:

Weergave:

Tja... mijn schoonzus laatst ook. "Hoe krijg ik de DHL app eraf?" Na wat doorvragen bleek dus dat haar telefoon raar deed nadat ze die app had geïnstalleerd omdat er een pakket zou klaar staan en gezien ze overal online besteld......
Nou ja, de 1e oplossing bleek een algehele factotry reset wat ze ook gedaan had en toch maar blijven vragen dat ze nu allemaal boze SMS'jes en telefoontjes kreeg. Ze kon zich niet indenken dat na wat de bot hat aangericht nat nog wel even bijft door etteren.

Maar ondanks dat de reset was uitgevoerd kwam ik op deze site waar wel een tool te vinden is voor het verwijderen van de bot https://github.com/linuxct/malninstall
dat is leuk, maar dat moet je gebruikers vragen om iets te doen (buiten de store om apps installeren) waarmee ze net iets vernaggeld hebben.
En dan moet je er maar vanuit gaan dat die app idd alle rotzooi verwijderd. Persoonlijk zou ik die Android telefoon niet meer vertrouwen totdat er een factory reset had plaatsgevonden.

Dus ik zou kiezen voor de factory reset.
Aan het eind meer werk om alles weer zo krijgen hoe je het graag hebt, maar dat is dan maar een leermomentje voor de eigenaar van de telefoon.
Inderdaad, een gecomprimeerd systeem kun je nooit meer vertrouwen.
"gecomprimeerd"? Kan het zijn dat je gecorrumpeerd of compromised bedoelt?
Ja compromised bedoelde ik idd in een waardeloze vertaling.
gecompromitteerd

;)

[Reactie gewijzigd door El_Bartholomew op 22 juli 2024 21:45]

Die zocht ik idd. Lange dag ;)
Wijze woorden, factory reset bij een besmette smartphone. Beter wat extra tijd eraan besteden dan de kans lopen dat er wat rommel achterblijft.
Maar wat doet een "factory reset" eigenlijk ? Is het gelijkwaardig aan een format en fresh OS install van betrouwbare media op een Desktop ?
Het brengt het systeem terug naar de originele ROM en wist daarbij alle software en data van het vrije geheugen.
Misschien handig voor sommigen:
Mede Tweaker @Webgnome heeft zelf een list gemaakt om toe te voegen in je Pi-hole, AdGuard Home etc.

Hieronder de link:
https://raw.githubusercon...main/flubot_blocklist.txt
Handig die lijst! Alleen zo lang :/ Dit is een verkorte samenvatting (voor in /etc/dnsmasq.conf):

address=/.cn/
address=/.ru/
address=/.su/

(Houdt meteen ook veel andere malware buiten de deur :o )
alleen lastig zaken doen met china bij jouw lijst
Aliexpress is toch nl.aliexpress.com ? .cn heb ik verder niet nodig :o
aliexpress != china. dat is een locale distribiteur met veelal slechte elcheapo namaak producten die heel slecht voor het milieu zijn.
Deze is een keer eerder hier voorbij gekomen:

/^[a-z]{15}\.(ru|su|cn)/

[Reactie gewijzigd door nomad_ op 22 juli 2024 21:45]

Ik heb al redelijk wat jaren geleden mijn Android telefoon vervangen door een iPhone, en ik weet dus niet hoe het tegenwoordig werkt (dit is geen flame, ben gewoon benieuwd hoe Google hedendage zijn gebruikers beschermt tegen dit soort troep), maar mag toch hopen dat er tegenwoordig wat waarschuwingen gegeven worden als je een app wil installeren uit een untrusted source? Een gebruiker moet dus niet enkel in het smsje trappen, maar toch ook een rits aan waarschuwingen van het OS wegklikken zonder te lezen?

Overigens mogen NL providers ook wel eens actief SMSjes gaan blokkeren. Ik krijg minimaal 1x/maand een SMS van een bank dat ik mijn rekening moet bevestigen oid. in AL deze smsjes staat een link beginnend met https://s.id Hoe makkelijk is het om dat te filteren? Alle berichten met die string erin meteen de prullenbak in maar helaas wordt dat niet gedaan. En als het niet op string kan, dan toch wel op volume? Als dezelfde sms X keer verstuurd wordt binnen Y tijd naar Z ontvangers dan kan deze toch wel nader bekeken worden op validiteit? (Ok dan komen de eerste 100 misschien door, maar dan blokkeer je de rest in ieder geval.)
Ook Apple laat steken vallen zie de berichtgeving over iOS 14.8.
Daar gaat het feitelijk om iets ernstigers. Een berichtje kan meteen root software installeren zonder actie van de gebruiker. Dus de gebruiker hoeft niet eens op een link te klikken en een app te installeren.

Over het algemeen denk ik dat iOS veiliger is. Maar gezien deze voorvallen is dat ook niet zeker.

Ik gebruik trouwens ook Apple maar heb een VPN met DNS bescherming (NordVPN) en gebruik in huis een Pi-Hole DNS server.

Voor het gemak een linkje naar het iOS 14.8 artikel toegevoegd:
nieuws: Apple roept gebruikers op besturingssystemen te updaten om nieuwe NSO...

[Reactie gewijzigd door t-force op 22 juli 2024 21:45]

Vpn is geen bescherming. En waan als je blieft niet veilig met een vpn of Nord.

Daarnaast is de Apple bug is van hele een andere orde en speelt ook op Android. Het gaat hier om bug die door geheime diensten van landen/Staten misbruiken werd. De software tool (Pegasus) is een zero day bug en was zo duur dat hij niet of nauwelijks door hackers of scammers gebruikt word.
Zie Pegasus uitleg
https://youtu.be/G7H9uo3j5FQ

Edit: ik zie dat veilig met vpn hebt aangepast (of ik heb het verkeerd gelezen, zou zomaar kunnen ) naar dns filtering, maar ook dat is nooit helemaal waterdicht

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Niet aangepast, dat VPN met DNS stond in mijn originele post.
Afgezien daarvan ben ik me geheel bewust dat dat niet veilig is, maar wel veiliger.
De VPN is voor mijn privacy en de DNS voor de tracking en advertentie en een klein beetje veiligheid aangezien die bots ook gebruik maken van linkjes met domeinnamen die ook in DNS block lijsten komen.

Dus al met al veiliger.

En ik ben me heel bewust van al die SMS-en en mails met rare linkjes.
Welke privacy. Je hebt bij je NL /BE provider een betere privacy bescherming (verplichte dns wassing ) dan bij welke vpn provider dan ook.

Vpn voor privacy is een USA ding omdat daar provider actief aan dns logging en gegevens verkoop doen. In de vs is bijv 8.8.8.8 een kleine privacy vooruitgang hier een hele grote achteruitgang.

Wil je dns filtering doe het zelf met bijv een pi-hole of neem een dns product af van een gerenommeerd liefst Eu Security’s bedrijf. Die je via de rechter verantwoordelijk kan houden voor gebreken of contract breuk.

Dus niet van een of andere (geen idee waar nord zit) vpn boer die je op zijn blauwe ogen moet geloven dat zijn gratis dns toevoeging werkt en up to date is. Of Niet meer filtert dan je eigenlijk wil (censuur) of toch je privacy aan dictators of NAS door geeft om dat ze in Rusland, China of de VS zitten.

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Ik kan me nauwelijks voorstellen dat dns logging door google (8888) minder erg is dan logging door de ISP.

PiHole scheelt al, en als je die combineert met unbound, dan heb je denk ik wel gedaan wat er mogelijk is tegen dns logging.

Dat laatste staat hier beschreven

[Reactie gewijzigd door sircampalot op 22 juli 2024 21:45]

Yes, ik ken unbound draai ik zelf ook (control freak) maar ISP mogen niet aan dns loggin doen.(tenzij gerechtelijke bevel/toestemming voor een TAP maar dan word je al verdacht van een misdrijf ) Door de wassing is niet te achterhalen wie welke dns request heeft gedaan. En ze mogen het nergens voor gebruiken. Bij 8.8.8.8 geef je hele digitale leven bloot aan werelds grootste reclame bedrijf 🤦 gevestigd in de vs waardoor ze onder de cloud act vallen. Gechargeerd gezegd wanneer jij naar de vs gaat mag de politie/Douane daar alles over je opvragen bij Google en wanneer ze iets zien wat ze niet bevalt kunnen ze je weigeren aan de grens.

Je provider ken je en daar heb je al een contract meer waar ze dingen beloven en waar je ze aan kan houden. Daarom je als dan toch een dns upstream gebruikt doe dan die van je NL provider dat is een van best privacy beschermde dns services in de wereld en je kan ze nog aanklagen ook :-)

Tweakers heeft hierover zelfs een mooie presentatie over online staan.
https://youtu.be/ZWabMpBGgUU

En hier een andere versie iets uitgebreider maar zelfde verhaal
https://youtu.be/pjin3nv8jAo

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

8.8.8.8 is zo 2010… ik heb al jaren geleden afscheid van genomen, sindsdien gebruik ik eerder 1.1.1.1 icm pihole.
Zelfde laken en pak.
Kijk de presentatie van Bert hubbers
1.1.1.1 is ook achterhaald, nu is nextdns al beter
Niet helemaal 1111 biedt veel meer en is veel geavanceerder met zero trust applicaties en teams. Maar dat is voor de pro markt.
1.1.1.1 is niet meer dan een dns van zich zelf voor het programma publiek
1.1.1.1 is niet alleen een dns, maar complete gateway /proxy/ distributie netwerk. waar je bijv jou thuis netwerk aan kan koppelen zo dat bijv je NAS met eigen public IP achter de 1.1.1.1 cloudflare gateway firewall /proxy (gateway) zit inclusief (acces) , dus zonder vpn voor jou en familie (teams) alleen toegankelijk is.

Geen idee wat je met programma publiek bedoeld? Maar de primaire doelgroep van 1.1.1.1 (cloudflare) is wat producten betreft is groot zakelijk (multinationals) en klein zakelijk/privé gebruik is gratis.
Toegang tot je nas of andere app’s
https://www.cloudflare.com/teams/access/

Full control over je DNS filtering en https AV
https://www.cloudflare.com/teams/gateway/

MPLS/SD-wan
https://www.cloudflare.com/magic-wan/

Ik zie next DNS dit aankomende jaren nog niet doen ;-)

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Ik doelde op public dns resolver feitelijk is dat 1.1.1.1
Als je een apk (dus app bestand) wilt installeren vanuit een onbekende bron is dit standaard geblokkeerd, je moet eerst expliciet toestemming geven dat een bepaalde app ook apps mag installeren. Dus als je bijvoorbeeld Chrome toestemming geeft om apps te kunnen installeren, dan kan je niet vanuit je mail ook direct alles installeren.

Het probleem is echter dat dit soort criminelen gewoon goed zijn in social engineering. Zolang je verhaal maar goed genoeg is doen heel veel mensen helemaal niks met een instelling, geven ze misschien de fabrikant van hun telefoon de schuld omdat het zo moeilijk is om een app te installeren die bpost naar je stuurt. Dus je aanname klopt, het is niet alleen een sms'je maar ook actief de beveiliging uitschakelen om een app te installeren, maar mensen zijn nu eenmaal makkelijk over te halen.
Overigens mogen NL providers ook wel eens actief SMSjes gaan blokkeren.
En ik zou er maar vanuit gaan dat dit al gebeurt. Dat je nog steeds sms'jes krijgt betekent niet dat er helemaal niks aan gedaan wordt natuurlijk, een dergelijk systeem werkt nu eenmaal niet 100%. Maar 90% filteren is nog steeds beter dan helemaal niks filteren. Om er dan maar vanuit te gaan dat er niks gefilterd wordt is een beetje kort door de bocht, als Tweaker moet je toch begrijpen dat perfecte systemen nooit zullen bestaan ;)

En 'hoe makkelijk is dat om te filteren', het antwoord is absoluut heel moeilijk inderdaad. Want even een regex string filter er overheen lost natuurlijk heel weinig op, dat is een beetje een oplossing die je in een startup met 5 man kan doen, maar KPN krijgt daar dan heel veel gezeik mee. De scammers passen gewoon een string aan, maar de mensen die toevallig over hun bank een sms'je sturen worden er wel uit gefilterd. Een 'vang alles maar op basis van tekst' filter is natuurlijk een hele slechte oplossing. Maar nogmaals, je aanname is dat er geen filtering is. Ga er maar vanuit dat er een stuk meer spam wordt verstuurd dan jij binnen krijgt. Hetzelfde met maildiensten, de spam die jij binnenkrijgt is al gefilterd, een groot deel haalt jouw mailbox nooit, dat betekent niet dat het niet bestaat maar gewoon dat jij niet 100% van alle spam binnen krijgt. Past wel in de tijd, 100% of niks, de middenweg bestaat niet, maar gelukkig bestaat de middenweg wel :)

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:45]

Criminelen goed is social engineering? Ja... gemiddelde eindgebruiker dom? Zeker ja.
Lulkoek. Ik werkte voor een bedrijf waar dag in, dag uit cyber veiligheid werd gepredikt. Met cursusen, voorbeelden, de hele meuk. En toen was er een oefening en van de duizend IT-ers die de test email kregen, handelde 40 % niet op een veilige manier (denk aan het forwarden van de email naar de team manager, terwijl de instructie is om de mail te verwijderen) en 10% opende de mail...

Ook getrainde mensen trappen er soms in. Door stress, door het niet goed lezen en bekijken, door een gevoel van valse veiligheid (Norton lost het wel op, we hebben een firewall, etc.). Dus klop jezelf niet teveel op de borst en noem anderen niet te vlug dom.
Dom heeft er weinig mee te maken, dat voelt meer als een 'ik ben slimmer want ik vind IT leuk' statement, leuk voor op Tweakers maar totaal onwaar. Daarnaast is het heel gevaarlijk om te denken 'ik ben slim dus social engineering is bij mij niet mogelijk', dat is namelijk gewoon niet waar en juist als je denkt immuun te zijn kun je nog veel harder worden gepakt ;)

Dom en interesse vind ik twee andere dingen. Als het gaat over een ander vakgebied ben jij daar weer 'dom' in, terwijl dat net zo belangrijk is.
@Verwijderd Een crimineel komt inderdaad niet van te voren vertellen dat hij je geld afhandig komt maken.

Als je dat gelijk doortrekt naar social engineering, dan is alles social engineering. Zeker aangezien de politie tegenwoordig vaak crimineel gedrag kopieert. Maar dat geldt dan ook voor bv. de handleiding van de telefoon. Die is ook zo gemaakt dat de verantwoording naar de eindgebruiker verschoven wordt; alle voorwaarden zijn hier op gericht, en dat zijn er nog al wat (ToS, EULA, privacy, enduser, etc)

Nah, gebruikers hebben simpelweg geen controle over hun apparaten en zeker niet over de betreffende infrastructuur.
Maar zelfs dan, scams worden tegenwoordig wel een stuk uitgebreider en geavanceerder. Waar scams vroeger expres fouten maakten zodat ze alleen de makkelijk te pakken doelwitten kregen, zien mails er nu heel vaak wel echt uit alsof ze van bijvoorbeeld bpost komen. Dan kun je nog zo goed zijn in pc's en je hele leven wijden aan IT, je kunt er nog steeds in trappen.

De tijd dat je met als IT'er een voordeel had is echt wel voorbij, scams zijn niet voor 'die domme niet IT mensen' maar voor iedereen, ook de domme IT'er die niks weet van alles wat er buiten de IT gebeurt ;)
@Verwijderd Ook niet; de meeste van de heftigste exoits gebruiken zeer fundamentele technieken en oude protocollen. HTTP headers en de data packetjes op individueel niveau aanpassen en over TCP versturen.

Het gaat ook niet of een gebruiker wel of niet dommer is dan iemand met wat meer computerkennis. Het gaat erom dat de techniek onveilig is en dat de gebruiker, ongeacht de level van gebruik, bijna zeker een inzichtprobleem heeft, op datalevel.

Een Assembly programmeur is bv. een betere gebruiker dan een C/C++ programmeur. Simpelweg omdat die toegang heeft tot een extra vertaalslag waar zelfs goede C/C++ programmeurs moeite mee hebben. En dat is altijd zo geweest.

Dus ik denk niet zozeer dat scammers beter worden. Ik denk eerder dat cybersec slechter wordt en steeds verder verwijdert raakt van wat er op lowlevel gebeurd. Afgeleid door allerlei ruis en nieuwe technieken, die enkel dienen als schil voor de oudere.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:45]

Een groot deel van de gemiddelde eindgebruikers behoort ook tot een andere leeftijdscategorie dan de gemiddelde Tweaker.

Ik zou mijn oma van 75 jaar zeker niet dom noemen, maar als zij dergelijke fishing smsjes krijgt acht ik de kans zeer groot dat ze er in trapt.
Ik denk dat je er beter vanuit kunt gaan dat er helemaal niets gefilterd wordt door telecombedrijven. SMS scannen op inhoud zou een schending zijn van je privacy. Daar zou je eerst toestemming voor moeten geven en volgens mij staat zoiets nergens in de voorwaarden wanneer je een abonnement afsluit.

Google zelf doet er al wat aan: je kunt SMS afzenders blokkeren en spam melden, maar dat helpt weinig wanneer de afzender een bekende is.
Ja, of nummers van scammers blokkeren. 100x gaan misschien door, maar na (genoeg) meldingen wordt een nummer geblokkeerd. Helaas kost zoiets het bedrijf geld /s
Vooral dit is een groot probleem, ik ben zeer voorzichtig met mijn data geven, echter wordt ik toch vaak gebeld van een onbetrouwbare bron, heb ook ingesteld dat ze per direct worden smart geblokkeerd.
Gebruik nextdns, heel simpel en maak je eigen vuurmuur
Natuurlijk kun je op Android niet zomaar een app installeren vanaf een onbekende bron.

Kijk goed naar wat er in de SMS van de criminelen staat: "Als er een venster verschijnt dat de installatie verhindert, selecteer dan "instellingen" en schakel de installatie van onbekende apps in".
Een gebruiker moet dus niet enkel in het smsje trappen, maar toch ook een rits aan waarschuwingen van het OS wegklikken zonder te lezen?
Ja inderdaad, zo werkt dat. Het jammere is dat sommige mensen hun brein uitzetten en veranderen in makke schapen die zich door de wolf laten leiden als ze zo'n melding zien, en alle beveiligingen uitschakelen omdat de SMS ze vertelt dat ze dat moeten doen...

[Reactie gewijzigd door jj71 op 22 juli 2024 21:45]

Ik begrijp ook niet dat mensen die weinig technische kennis hebben (en dus wel de doelgroep zijn van die sms) een untrusted apk kunnen installeren.

Weliswaar kan het onder Android (wat ik ook echt een voordeel vind), maar je moet al heel wat exceptions instellen om het te doen. Als ik dan rond me kijk en weet hoe moeilijk het is om aan een leek uit te leggen hoe die een simpele instelling moet wijzigen, verbaas ik me echt dat veel mensen er gewoon nog maar in slagen om die Flubot te installeren.
Ik heb al redelijk wat jaren geleden mijn Android telefoon vervangen door een iPhone, en ik weet dus niet hoe het tegenwoordig werkt (dit is geen flame, ben gewoon benieuwd hoe Google hedendage zijn gebruikers beschermt tegen dit soort troep), maar mag toch hopen dat er tegenwoordig wat waarschuwingen gegeven worden als je een app wil installeren uit een untrusted source? Een gebruiker moet dus niet enkel in het smsje trappen, maar toch ook een rits aan waarschuwingen van het OS wegklikken zonder te lezen?
Ja, deze waarschuwingen zijn er inderdaad. Maar wat is hier de onbekende bron? Men ziet een groot Bpost-logo, dat is wel een betrouwbare bron. Ik vertrouw Bpost, dus installeren maar! Dat Bpost dus niet de bron is, is onduidelijk. (Want anders was je niet eens zo ver gekomen).
Er is een grens tot waar je een gebruiker kan helpen tegen diens eigen onkunde, Linux wordt ook als veiliger beschouwd als Windows. Plaats echter dezelfde onkundige gebruiker op Linux en deze helpt het systeem zelf binnen de kortste keren om zeep, door alles te installeren of commando's uit te voeren wat men zegt te doen om bijvoorbeeld een spel werkende te krijgen.

Er zal uiteraard wel meer malware gericht zijn op Android omdat er gewoonweg meer gebruikers zijn op dat platform (72%~ vs 26%~) en dus het bereik veel groter en interessanter is, hetzelfde geldt voor Windows vs Linux/MacOS.

We zullen het uiteindelijk nooit 100% zeker weten hoe de wereld van malware eruit gezien had als de percentages omgedraaid zouden zijn. Zouden Linux en IOS dan alsnog veiliger zijn t.o.v. van de concurrenten of zou je om de haverklap artikelen krijgen van malware en andere veiligheidsrisico's?
Je moet in de instellingen gaan duiken om installatie van onvertrouwde bronnen aan te zetten, er is dus een duidelijkz drempel. Maar toch klikken en doen mensen alles achteloos.
NL providers blokkeren al heel wat spam en fishing.
Maar in jouw voorstel zouden ze al onze smsjes inhoudelijk moeten scannen, en laat dat net bij wet verboden zijn.
Wat ze wel kunnen doen is kijken hoe groot een sms is, en als vanaf 1 nummer enorm veel smsjes met ogenschijnlijk dezelfde grootte verstuurd worden, kunnen ze die aanmerken.
Helaas gebruiken dit soort spammers een hele hoop nummers. Zo bleek dat ze gewoon prepaids kopen in de supermarkt en dan een apparaat telkens van sim laten wisselen als deze geblokeerd wordt. En zelfs de tekst een beetje laten varieren zodat de sms grootte telkens anders is.
Het kan de spam dus wel verminderen maar moeilijk helemaal uitsluiten.

Vergeet ook niet dat er klanten zijn die terrecht eenzelfde smsje naar meer ontvangers sturen, dat wil je ook niet gaan blokkeren als provider. Dus er moet slimmere software komen die het spam gedrag en normale gedrag onderscheid. Ik denk dat die er ook is of komt, maar dat het nog een traject is waarbij de spammers slimmere manieren bedenken en men de software telkens optimaliseert.
Gebruik nextdns of pihole of adguard home met oisd blocklijst, en dan te hopen of het domein wat in de sms staat geblokkeerd is
Yep, maar die knakkers worden steeds 'sneller'. Dus een domein registreren en direct een SMS-golf eruit gooien.

Dit is ook de reden dat onze firewall nieuwe domeinen (<2 maanden actief) pas toestaat na vrijgave door het beheerteam. Lastig bij de launch van een nieuwe website, maar het voorkomt deze hit-and-runs...
Niet geheel mee eens, nextdns heeft een optie dat nieuwe domein die onder de 30dagen oud zijn niet toegankelijk zijn.
Interessante optie in je firewall! mag ik vragen welke firewall jullie gebruiken?
Dat doet de dns server software. niet de firewall.

Ik gebruik DNSWatch op mijn gateway’s en voor onderweg op de cliënt de DNS Watch go APP.

De app voorkomt ook host file hijacking en zorgt voor liggen van alle requests die een client doet.

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Mikrotik, maar die doet standaard geen DNS bescherming.
Met RouterOS 7 gaat MKT wel Docker ondersteunen. Dat geeft als optie om Pi-Hole op je router te installeren.
Maar Pi-Hole draait ook op een simpel Raspberry PI of als docker op een Synology NAS.
Opties zat.
Ik zie het ook aan de SPAM. Ze gebruiken nieuwe geregistreerde fantasie domeinnamen en vaak onder .work, .casa, .space etc.
De namen veranderen per dag.
En dat neemt ook weer toe qua hoeveelheid.

Wij blokkeren standaard de genoemde 'moderne' tlds zowel op host niveau als op email adres niveau.
Jammer voor diegene die een .casa of een .work etc. registreren. Die zal ik handmatig moeten excluden als ze met ons willen mailen.
Daarom blokkeer ik (moet eigenlijk iedereen doen) standaard new geregistreerde domein namen in je dns server.
Kan Pi-Hole dit ook??
Ja, door een commerciële AV / security provider als upstream te gebruiken. Wanneer je unbound gebruikt kan je een 2 dns server met AV upstream synced
https://github.com/vmstan/gravity-sync

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Inderdaad heel lastig bij de launch van nieuwe domeinen wat bij ons toch vaak gebeurt (en bv. voor Corona hebben wij ook heel wat nieuwe dingen moeten lanceren voor medische informatie, vaccinaties, ...).

Ook zie ik vaak dat het niet echt nieuwe domeinen zijn, maar gehackte legitieme bedrijfjes waarvan de website misbruikt wordt.

Fortigate onderhoudt bv. een dns lijst met zo'n malafide domeinen (of gehackte), maar er zijn er ook andere (bv. https://www.dnsbl.info). Die gebruiken wij. Of je zou natuurlijk .be en .nl kunnen whitelisten als je echt daily new bread dnslists wil gebruiken.

Maar het helpt natuurlijk ook niet echt voor gsm's die niet van jouw dns gebruik maken (wat normaal het geval zal zijn).
Dat is leuk voor thuis maar zodra je op 4G zit en dan het SMS'je krijgt en met een halfslaperig hoofd de link aanklinkt, helpt je PiHole thuis je ook niet meer.
Daarom zorg je dat je altijd naar huis verboden met middels vpn
Meh. Dat zou kunnen maar met de gebrekkige staat van internet in dit land (Nederland) heb je vaker géén verbinding dan wel, dus klapt die VPN er ook constant uit.
Sorry maar dit is wel echt typisch Nederlands klagen over iets, want ben je Nederland wel eens uit geweest? Als jij vaker geen verbinding hebt dan wel zou ik toch eens aan de bel trekken, in plaats van rondbazuinen hoe slecht Nederland is. Nederland is namelijk redelijk goed wat betreft internet, hoe erg jij het ook haat.
We kunnen niet eens fatsoenlijk glasvezel aanleggen of overal in Nederland mobiele dekking bieden... ok het is nog niet zo treurig als België of Amerika, dat is zo.
https://en.wikipedia.org/...ies_by_4G_LTE_penetration BE & NL doen het heel goed op gebied van mobiele dekking
https://fairinternetrepor...internet-speed-by-country ook op het gebied van vast internet doen BE & NL het zeer goed

[Reactie gewijzigd door Fabfabfab op 22 juli 2024 21:45]

Dan zou ik een andere provider kiezen.

Ik ben nu een aantal weken in het buitenland en heb thuis op xs4all een vpn server draaien die tot nu toe nog geen enkele moment down is geweest. Ik heb dan ook op al mijn apparaten een always on VPN verbinding opgezet waardoor ik gebruik kan blijven maken van pi-hole en andere filters op mijn thuisnetwerk
Nextdns makkelijk voor buitenshuis
Ja dat zou inderdaad nog wel kunnen. Zal het eens bekijken..
Heel ons huis gebruikt het, heel fijn en nooit problemen mee, ook over de grens niet
2 miljoen, maar hoeveel zijn er doorgekomen? in mijn blocked & spam folder van mijn smsjes zijn er vorige week zes toegekomen :-). Ik heb ook bericht van mijn provider zien voorbijkomen om dit te melden. Dus hopelijk niet teveel mensen ingetrapt.
Orange Info: Frauduleuze sms-berichten doen de ronde. Ben je niet zeker van de afzender? Klik niet op de link in de sms en verwijder hem. Heb je erop geklikt? Zet je toestel terug naar fabrieksinstellingen. Onthoud: Orange SMSjes komen altijd van een viercijferig nummer.
kan me voorstellen dat de niet IT-onderlegde persoon, die een pakje ontvangt er al wat sneller op klikt. Zelfs al ze je app of OS het in een spam & blocked folder.

[Reactie gewijzigd door Yoshi op 22 juli 2024 21:45]

Precies dit. Ik vind mezelf best tech savvy en alert, maar ik verwachtte een pakketje en ik kreeg in een druk moment een SMS dat "mijn pakketje" op een bezorgpunt is afgeleverd en door op een link te klikken kon ik het afleveradres bevestigen of zoiets... . En alle namen/tijden klopte per ongeluk.

Dus ik wilde op die link gaan klikken toen ik zag dat het geen DHL link was en heb ik e.e.a. gecheckt via de track-and-trace van DHL en bleek dat mijn pakket nog gewoon onderweg was.

Maar de grens tussen echt en nep wordt steeds kleiner. Dus het aantal mensen wat erin zal trappen zal hoger gaan worden.

/ ik verwacht overigens wel dat als je op de link klikt dat daarna ook weer alarmbellen afgaan zodat je toch niet doorgaat met pincodes of creditcardnummers, maar goed... Als zoiets valt op de goede tijd....
Dat is het lullige er ook aan. Ik ben ooit eens overgestapt van T-Mobile naar Vodafone, kreeg 2 weken na het omzetten een 'factuur' van T-Mobile wegens nog openstaande kosten. Ik moest ook echt even 3x kijken voordat ik zag dat het fake was, maar omdat de timing *zo* goed was had ik er ook zomaar in kunnen tuinen.
@Wisher ,@DigitalExorcist

Kijk, dat is het hem. Als bij 10% van de mensen de timing ongeveer klopt, en daardoor 1% van de mensen er in trapt, dan is het voor die lui meestal al behoorlijk lucratief. Één keer per maand zo'n actie - bv steeds in een ander land, en je kan leven als een god in Frankijk, laat staan in een land waar de costs of living laag zijn.

We zijn gewoon toe aan een systeem waarin zulke zaken onmogelijk zijn. GisterenMaandagavond was het weer Radar op de TV*1 en het ging weer eens over telefonische verkoop, en nu sinds 1 juli particulieren niet meer ongevraagd gebeld mogen worden richten ze zich op ZZP-ers, MKB. De slachtoffers worden gebeld met een "aanbieding" voor vermelding op een onbekende website*2 voor het bedrag van €450 excl. BTW (544,50) gedurende 1 maand. Het telefoonscript wordt razendsnel doorgelopen. Binnen twee weken na het gesprek komen factuur, herinnering en aanmaning, en de bedrijven erachter zijn zo goed als niet bereikbaar. Radar noemt het Aquisitiefraude en roept op om aangifte te doen.

*1(één van de 6-7 programma's die we nog kijken, de andere zijn Spoorloos, Rail Away, Ik Vertrek, VRT-Journaal, RTL-Journaal en NOS-Journaal)
*2 (bedrijfopzoeker.nl bedrijfopzoeken.nl uwmkbgids.nl en uw-firma-online.nl)

Men probeert tegenwoordig op alle mogelijke manieren mensen te misleiden, bedriegen, op te lichten en te bestelen, en hoewel misleiding, bedrog, diefstal, fraude, oplichting en andere dergelijke criminaliteit van alle tijden is, zie je dat men hierin tegenwoordig steeds rücksichtloser te werk gaan, niets of niemand ontziend. Mensen zien dit ook steeds meer op alle niveau's in de samenleving, CEO's, CFO's, COO's, CIO's, CMO's, CTO's, e.d. harken steeds meer binnen voor minder verantwoordelijkheid, en zien we die steeds verder verweven raken met de politiek, iets dat in de USA gebeurd (partijfinanciering, lobbies onder senatoren e.d. maar ook de verwevenheid van de politiek net media), iets dat in de EU gebeurt (belangen van de Duitse en Franse auto-industrie wegen zwaar in de EU), iets dat Nederland gebeurt (ik ken vanaf kabinet Lubbers niet één kabinet waar er niet minstens een ex-staatssecretaris of minister in het bedrijfsleven is gegaan). Een grote verwevenheid van bedrijfsleven en politiek is ook wat de fascistische regimes kenmerkte, meer nog dan enkel het opdelen van de samenleving in übermenschen en untermenschen, of het neerzien op andere volkeren, twee dingen die ook in andere Westerse landen gebeurde, al ging men daar niet over tot massale vernietiging. Dat laatste werd ook pas mogelijk juist door de verwevenheid van politiek, bedrijfleven en media waardoor kritiek onmogelijk werd.

Ook in onze samenleving zien we dat kritiek op de overheid, buiten het parlement, steeds minder geaccepteerd wordt. Facebook, Youtube, Linked-in e.d. censoreren uit eigen beweging. De samenleving verjuridiseerd, de overheid zet steeds meer in op handhaving en controle, niet om de burger te beschermen tegen criminaliteit zoals oplichting, diefstal, beroving, zedenmisdrijven, zinloos geweld, maar om de orde te handhaven, de overheid te beschermen, steekwoorden zijn terrorisme, kindermisbruik en zware georganiseerde criminaliteit, waarbij men dus enkel nog vertrouwd op sleepnetmethodes.
Ik had een beetje hetzelfde.
Kreeg ook zo'n SMS terwijl ik een pakketje verwachte. Echter moest ik de 'DHL app' downloaden maar dat kon enkel als ik volgens de instructies toestond dat ik in Android moest toestaan iets uit 'onbekende bron' te installeren. Dikke doei :+
Er wordt ook helemaal niet gevraagd naar pincodes en creditcard nummers. De basis is eigenlijk dat je telefoon sms'en met dezelfde boodschap rondstuurt.

Het is dan pas als je een bank app of zo opent dat er een fake website wordt geladen. Je kan dus al een week of twee geleden de sms geopend hebt maar vandaag pas een bank app openen. En die bank app vertrouw je (min of meer), je bent die sms van paar weken geleden vergeten en daar geef je dan je gegevens in.

Vraag me eigenlijk af hoe je kan herkennen dat dit op je telefoon staat. Hoog dataverkeer waarschijnlijk niet want het zijn sms'en. Misschien batterij sneller leeg of telefoon traag reageren of zo
Net tijdens het lezen van dit artikel NOG een spam SMS binnen gekregen. In de laatste week echt een tiental berichten gekregen, en het lijkt voor mij gewoon altijd so obviously fake...
Gelukkig meldt mijn sms-app altijd dat de berichten "verdacht" zijn en stelt ie meteen voor om ze als spam te melden en het nummer te blokkeren. Ik vraag me dus ook af hoeveel er wel niet doorgaan als ze er al 2 miljoen tegenhouden.
Ik krijg ze nooit. Dat jij ze zo veel krijgt zegt iets over je online hygiëne. Schijnbaar slinger jouw gegevens boven gemiddeld rond op het web waardoor je in dit lijsten te recht komt en regelmatig dit soort sms krijgt.
Je zou het denken, niet? Nochtans zet ik m'n gsmnummer amper ooit ergens te grabbel, alleen voor 2FA ben ik daar toe te overtuigen. Als je leest hoe dit virus juist werkt, zie je ook dat het gebruik maakt van adresboeken van gsms waarop het geinstalleerd geraakt, NIET je persoonlijke online hygiëne. Dat zou dus betekenen dat mijn contacten er slechte gewoontes op nahouden, niet ik.
Once given the permissions, both FluBot versions act as spyware, SMS spammer, and credit card and banking credential stealers all in one. Reaching out to the C2 server, the malware sends the victim’s contact list and retrieves an SMS phishing message and number to continue its spread using the victim’s device.
https://www.proofpoint.co...gh-europe-may-hit-us-soon
Hmm. I see
Maar dan blijft het tocht bijzonder hoe dit werkt.

Je zou dan verwachten dat hoe meer contacten hoe vaker je deze berichten zou moeten krijgen maar dat lijkt niet het geval. Nu weet ik dat mijn ervaring persoonlijke is dus niks zegt over de realiteit.

Kan je de C2 domeinen niet Blokker in je dns/pi-hole/black-home dns en de routers van je directe omgeving naar jouw pi-hole verwijzen. Dan heb je snel vrij snel door wie of dat het iemand in jouw omgeving is die geïnfecteerd is.

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Weet iemand hoe het mogelijk is dat de app niet meer kan worden gede-installeerd?
Verwijderen lijkt me een functie van het OS. Dus is een deel van het OS dan ook vervangen?
Ik vermoed dat het zich installeert als mobile device management-app. Dan is het bij Android moeilijker te verwijderen. Bedoeld voor bedrijven om de apparaten van hun medewerkers mee te beheren, en bij iOS waarschijnlijk ook zoiets.

Ik vraag me af of een reclamecampagne met basale veiligheidstips beter werkt. Iets als: "dit is het scherm waarin je een app installeert die niet uit de Play store komt. Niet doen!" in plaats van "hang op, klik weg, bel uw bank"
Dus iemand gaat via d.m.v. een .apk van een onbekende bron (wat standaard geeneens kan) een MDM-app installeren (met alle stappen die daarbij komen) om een pakketje van PostNL te traceren?
Dat kan ik me haast niet voorstellen.
voor veel mensen zijn computers frustrerend, dus willen ze een hoop "jahaaa" wegklikken als ze in een funnel aan het werken zijn naar een doel (willen ontdekken wat dat pakje is dat ze niet verwachten).
Dan zien ze het het onderscheid tussen alle waarschuwingen 'je gaat nu iets onveiligs doen' en andere obstakels niet, omdat computers in hun ogen altijd obstakels opwerpen.

En, niet vergeten: het hoeft maar bij 0,1% van 2000 doelwitten te lukken om 2 bankaccounts te kraken.

[Reactie gewijzigd door dwizzy op 22 juli 2024 21:45]

2 bank accounts is toch echt 1% ;)
:/

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Het vraagt bij installatie om toegankelijkheidsrechten, waarmee het de volledige controle over kan nemen. Hier een analyse van een iets andere variant van FluBot.
Goed dat ze dit zo actief blokkeren en monitoren!
Ik krijg het idee dat hier in Nederland een stuk minder aandacht voor is, klopt dat? Zowel op KPN (prive) als T-Mobile (Zakelijk) geregeld SMSje die je proberen te verleiden te klikken op een link. Van 'mijn bank', 'WoningNet' of inderdaad 'DHL'...
Idem hier, kreeg ineens diverse SMSjes met als nieuwe recente variatie "uw DigiD is verlopen".
Afgelopen maand 2x een smsje gekregen, en die gingen meteen daarna automatisch de spambox in.
Ja op je eigen telefoon. In dit topic gaat het over providers die het blokkeren voor het op je telefoon komt.
Ik heb DHL, Bpost of nog een leuke: "De Federale Overheidsdienst heeft beslist dat u een terugbetaling ontvangen van €89.74. Om uw bedrag te ontvangen kan u terecht op xxx" en dan een hele net uitziende URL voor de verandering! Het heeft https:// en een .eu extensie lijkt het! Ik kan gerust geloven dat in die laatste een heleboel mensen intrappen, als je niet verder denkt "Welke federale overheidsdienst? Zelfs de belastingsterugbetalingen worden altijd enkel per brief aangekondigd. Waarom zou ik mijn gegevens moeten bevestigen, als de overheid die al allemaal kent?".
Hier op het netwerk van vodafone de laatste dagen ook al regelmatig berichten van zogenaamd "WoningNet" dat mijn account verloopt.
De wetgeving in NL is heel streng, waardoor filtering niet of nauwelijks mag.
Toch zijn er zeker mensen die meerdere berichten hebben gehad (zelf 4 of 5), maar toch mooi dat ze er werk van gemaakt hebben. Lijkt mij moeilijk om dit echt te detecteren, maar toch mooi werk
Als gebruikers de app downloaden, wordt vanuit de naam van de gebruiker smsjes verstuurd naar contacten.
Dit is eigenlijk het eerste artikel waar ik enigszins uit kan halen waarom de malware FluBot heet, weer wat geleerd :)

Ik ben ook wel benieuwd of die 2000 tijdelijk geblokkeerde nummers dan nummers waren van de mensen die de malware wilden verspreiden, of van slachtoffers waarbij daarna werd geconstateerd dat ze de malware naar vrienden aan het sturen waren.
Dit zijn bestaande nummers, van onschuldige gebruikers.
Flubot trekt de telefoonlijst naar zich toe, en begint dan met nummerspoofing van die nummers te verzenden.
Met de huidige dekking van de messenger-diensten die op telefoonnummer werken, kan je zo al snel een dekkingsgraad van 75% of meer krijgen.
Al die nummers krijgen en verzenden op dat moment de sms'jes
Het 'mooie' hieraan ( in technisch opzicht ) is dat het bijna niet voorkomt dat jij een sms krijgt van een directe contact, of jezelf.
Dus die backend is wel heel geavanceerd opgezet
Moet je hiervoor niet toestaan om de APK uit onbekende bron te installeren?
Lijkt me dat, ook al trap je in de echtheid van het bericht en download je het bestand, iedereen bij het installeren toch afhaakt...

Op dit item kan niet meer gereageerd worden.