Organisatie Spa Grand Prix waarschuwt voor phishing

De ticketverkoper van Formule 1 Grand Prix in het Belgische Spa waarschuwt voor phishing. Kwaadwillenden lijken het mailbestand van de organisatie in handen te hebben en spoofen naar verluidt het mailadres van de ticketverkoper.

De organisatie bevestigt de phishing onder meer tegen RBTF, maar legt niet uit hoe de criminelen aan de gegevens komen voor de phishing. De truc werkt door klanten te zeggen dat zij een waardebon van 50 euro krijgen, waarna ze moeten inloggen met bankgegevens om die te verzilveren. Daarbij stelen zij de bankgegevens van klanten.

De ticketverkoper, die er zelf niets over zegt op de site, heeft een mail gestuurd aan klanten om hen te wijzen op de phishing. Het is onbekend hoeveel mensen de mail hebben ontvangen. Veel mensen zeggen in een Reddit-thread de mails ook te hebben gezien, waardoor het erop lijkt dat een deel of alle mensen die ooit kaartjes voor die Grand Prix hebben besteld, de mail hebben gekregen.

Phishing mail GP België. Bron: Stinodp/Reddit
Phishingmail GP België. Bron: Stinodp/Reddit

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 18-03-2024 07:13
34 • submitter: ninteresting

18-03-2024 • 07:13

34

Submitter: ninteresting

Lees meer

Britse autoriteiten halen netwerk offline dat telefoonspoofingsoftware aanbood
Britse autoriteiten halen netwerk offline dat telefoonspoofingsoftware aanbood Nieuws van 1 augustus 2024
Nederlandse maker van 'multifunctionele phishingtool' krijgt 3 jaar celstraf
Nederlandse maker van 'multifunctionele phishingtool' krijgt 3 jaar celstraf Nieuws van 24 juli 2024
Politie rolt internationaal phishingnetwerk op, vijf arrestaties in Nederland
Politie rolt internationaal phishingnetwerk op, vijf arrestaties in Nederland Nieuws van 18 april 2024
Playseat gaat officiële Formule 1-stoelen en -racesims maken
Playseat gaat officiële Formule 1-stoelen en -racesims maken Nieuws van 27 maart 2024
Fors minder schade en minder slachtoffers bankhelpdeskfraude in 2023
Fors minder schade en minder slachtoffers bankhelpdeskfraude in 2023 Nieuws van 11 maart 2024
FBI: gemelde schade internetcriminaliteit in 2023 bedraagt 12,5 miljard dollar
FBI: gemelde schade internetcriminaliteit in 2023 bedraagt 12,5 miljard dollar Nieuws van 8 maart 2024
Politie houdt vier mannen aan voor grootschalige phishing en bankhelpdeskfraude
Politie houdt vier mannen aan voor grootschalige phishing en bankhelpdeskfraude Nieuws van 1 maart 2024
Meer producten en artikelen
Websites en community's België Formule 1 Phishing

Reacties (34)

-Moderatie-faq
34
32
19
2
0
3
Wijzig sortering
robvh99 18 maart 2024 08:08
Volgens de foto is de mail ondertekend, dus dat suggereert een geldige dkim handtekening.
Zou dus betekenen dat ze een kopie van de private key hebben, controle over de dns zone of een 'officieel' kanaal gebruikt hebben.
In dat geval zou een betere dmarc instelling weinig verschil gemaakt hebben.
MrMaxus @robvh9918 maart 2024 10:59
Ik Heb deze ontvangen:

Bericht-ID <cm.1739017463988.ejttjdy.jjldzdtju.t@cmail20.com>
Gemaakt om: 17 maart 2024 om 07:39 (Bezorgd na 13 seconden)
Van: Spa Grand Prix <info@spagrandprix.com> Met Create Send
Aan: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Onderwerp: Exclusive Gift for You: Unlock Your €50 Coupon!
SPF: PASS met IP-adres 203.55.21.138 Meer informatie
DKIM: 'PASS' met domein spagrandprix.com Meer informatie
DMARC: 'PASS' Meer informatie
jusch @MrMaxus18 maart 2024 11:11
Dat komt van mx138.a.outbound.createsend.com:
loc:
"37.3394,-121.8950",
org:
"AS55819 CAMPAIGN MONITOR PTY LTD",
postal:
"95103",
timezone:
"America/Los_Angeles",

doorgelinkt aan: CAMPAIGN MONITOR PTY LTD, L38/201 Elizabeth Street, Sydney

[Reactie gewijzigd door jusch op 22 juli 2024 19:32]

33Fraise33 18 maart 2024 07:17
Ik wou de organisatie nog aansturen maar dit lijkt me geen directe phishing.
De mail werd verstuurd vanaf hun domain inclusief het gebruik van mijn mailadres die uniek is voor hun website. Het lijkt me eerder dat ze gehackt zijn dan dat het externe phishing.
Ik weet wel niet of hun domain SPF en dkim gebruikt. Indien niet kan het wel alsnog zijn dat de mail extern verstuurd werd en Google deze niet geflagged heeft.

[Reactie gewijzigd door 33Fraise33 op 22 juli 2024 19:32]

Notlupus @33Fraise3318 maart 2024 07:19
Dat staat toch ook zo in het artikel?
Kwaadwillenden lijken het mailbestand van de organisatie in handen te hebben en spoofen naar verluidt het mailadres van de ticketverkoper.
.oisyn Moderator Devschuur® @Notlupus18 maart 2024 10:43
Nee? Het mailbestand is gewoon het adresboek. Het artikel gaat helemaal niet in op de technische details.
Jaldea @.oisyn19 maart 2024 16:22
Kan ook toegang zijn tot/vanaf de mailserver, dan heb je in werkelijkheid alle geldige gegevens in handen om legitieme mail te versturen, maar kan dit alsnog phishing zijn, omdat je een product koopt dat niet bestaat.

Verdere technische details kunnen daarover oordelen wat er precies is gebeurd.
dutchgio @33Fraise3318 maart 2024 07:28
Je wordt alsnog aangezet om betalingsgegevens op een valse website in te voeren. Dat is weldegelijk phishing, ook al komt het van het gehackte mailadres van de organisatie zelf af.
Coolstart @33Fraise3318 maart 2024 08:06
Ze gebruiken SPF records maar geen DMARC.

Wiki: Domain-based Message Authentication, Reporting and Conformance (DMARC) is an email authentication protocol. It is designed to give email domain owners the ability to protect their domain from unauthorized use, commonly known as email spoofing. The purpose and primary outcome of implementing DMARC is to protect a domain from being used in business email compromise attacks, phishing email, email scams and other cyber threat activities.

Beide scenario’s kunnen dus. Intern of extern. Ze gebruiken Mailersend dus als je dat hackt heb je vrij spel.
laurens0619 18 maart 2024 07:26
spagrandprix.com=v=DMARC1; p=none;
Geen dmarc policy op zon domein? Dan kan er inderdaad simpel gespoofed worden en lijkt de mail echt van spagrandprix te komen.

Maar de mail lijkt ook DKIM signed te zijn door juiste domein dus daar lijkt meer aan de hand te zijn

[Reactie gewijzigd door laurens0619 op 22 juli 2024 19:32]

MtlSnk @laurens061918 maart 2024 08:19
DMARC wordt gebruikt voor rapporteren/afdwingen van SPF en DKIM.
DKIM beschermt de integriteit van een mail (i.e. geen bewerkingen mogelijk tijdens transport).
SPF beschermt tegen spoofing door een lijst van toegestane afzenders te gebruiken.

In dit geval is er effectief geen DMARC record, zoals je al aangeeft, maar belangrijker is de SPF Soft Fail ("~all" aan het eind).

Daarmee wordt de toegestane lijst uitgebreid naar "in ieder geval deze afzenders, maar sta de rest ook maar toe" met de kanttekening dat sommige mail providers soft fails naar ongewenst verplaatsen.

Edit: het lijkt eerder op een breach op een systeem als MailChimp, zoals @royvs98 aaangeeft.
In het screenshot staat dat "cmail20.com" de verzendende mail server is, dat domein hoort kennelijk bij CreateSend, een email nieuwsbrieven dienst.

[Reactie gewijzigd door MtlSnk op 22 juli 2024 19:32]

laurens0619 @MtlSnk18 maart 2024 08:52
Met DKIM kun je ook de afzender adressen tekenen. Dus ook DKIM, icm juiste DMARC records, draagt bij tegen spoofing :)

Verder met je eene dat wss de (third) party omgeving CreateSend compromised is. CreateSend staat in de SPF records dus dat is wss een legitieme gebruikte partij van spagrandprix
v=spf1 include:_spf.mailersend.net include:spf.protection.outlook.com include:_spf.synchrone.be include:_spf.createsend.com include:servers.mcsv.net mx ~all

[Reactie gewijzigd door laurens0619 op 22 juli 2024 19:32]

Donstil @laurens061918 maart 2024 07:38
[...]


Geen dmarc policy op zon domein? Dan kan er inderdaad simpel gespoofed worden en lijkt de mail echt van spagrandprix te komen
Oei Policy=None op een dergelijk domein is wel heel slordig inderdaad. Altijd belangrijk uiteraard maar iets wat extern zo zichtbaar is helemaal.
FabianNL 18 maart 2024 08:05
E-mail hier gisteren ook ontvangen; link geopend en alles zag er keurig en netjes uit om eerlijk te zijn. Naam en email adres ingevoerd, maar toen begon ie direct om m'n creditcard gegevens te vragen. Dit vond ik wel heel opvallend en dus niet doorgegaan met invullen.

Ik kan me voorstellen dat mensen hier wél intrappen, de mail was gewoon afkomstig van hun normale email adres en de website leek correct. Ik zie ondertussen wel dat de website nu offline is, gelukkig.
Kenhas @FabianNL18 maart 2024 08:29
Bij mij ging er toch al een alarmbelletje af toen ik las dat ik geselecteerd was uit (wat was het weer) 10.000 gelukkigen of zoiets. Ook het feit dat ik de mail drie maal ontving, was al een teken.

Een paar vrienden, waar ik toevallig mee op weekend was, wilden wel invullen maar heb het hen afgeraden. Het klopte gewoon niet naar mijn gevoel.
Marcel Br @FabianNL18 maart 2024 09:10
Kom nou, een organisatie (die met moeite rondkomt) gaat je toch geen geld geven.
Ik kreeg 5 mails, misschien voor elk bezoek de afgelopen jaren.
FabianNL @Marcel Br18 maart 2024 09:26
Natuurlijk is dat opvallend, daarom was ik ook extra alert...
Maar je krijgt maandelijks kortingscodes op mail vanuit F1 organisatoren. Daarnaast was ik erbij in 2021, Spa kan mij niet zo snel meer verbazen en ik heb nogal wat geld van ze "tegoed" 8)7
Marcel Br @FabianNL18 maart 2024 09:32
Ik ook in 21, nooit korting gezien.
Sircuri @FabianNL18 maart 2024 21:21
Grappig dat ik bij dit soort mailtjes nooit het gevoel krijg dat het netjes en eerlijk uitziet. Niemand geeft gratis iets weg en betaal je altijd met je gegevens. Daarnaast kreeg ik deze mail 5 of 6 keer geloof ik.

Laatst had ik ook stofzuiger gekocht met cashback. Of ik even mijn hele prive leven wilde delen met ze voor 50 EUR. Nou, dacht het niet. Dan maar geen cashback.

Is het de hebberigheid van mensen dat ze uberhaupt de drang krijgen om op linkjes in mailtjes te klikken?
royvs98 18 maart 2024 07:41
Zij maken zo ver mij bekend is gebruik van Mailchimp en ik doe dan even de aanname dat zij het Mailchimp account is gehackt waardoor ze het gemakkelijkste een mail konden versturen naar alle abonnees van de nieuwsbrief en dus ook gebruik kunnen maken van eventuele URL's.
J0ske 18 maart 2024 09:05
Mail zelf ook gehad, zag er erg geloofwaardigheid uit (al viel het me later op dat ze de 2023 banner gebruikte, maar daar had ik initieel overgekeken).

Nu gingen er wel 'too good to be true' alarm belletjes af dus was ik alles aan het dubbelchecken.

links in de mails gebruiken synchrone domein shorteners, wat dus gewoon de partij die de spagrandprix website verzorgt is.

Na geklikt te hebben was het domein echter eentje van een kunstgalerij in Griekenland waarna het ineens 100% duidelijk om phishing ging
Beandeh 18 maart 2024 09:31
ik kreeg idd een handvol SPA mail te gelijk, gelukkig was dat al overduidelijk dat dat niet kloptte.
Heb idd ook de waarschuwing later gekregen.
BovenHond 18 maart 2024 07:32
Op het circuit van SPA werken maar ongeveer 40 mensen. Dus dat zij op IT-gebied iets hebben gemist lijkt me niet heel vreemd.
pctje @BovenHond18 maart 2024 07:50
Wat geen excuus is. Het bedrijf organiseert een evenement die een miljoenenpubliek bereikt en honderdduizenden klanten heeft. Dan horen dit soort zaken gewoon op orde te zijn.
Erwin @pctje18 maart 2024 08:38
Er zijn jaren geweest dat ze er amper Dixies hadden neergezet voor de GP. Er zijn jaren geweest dat ze de lokale Politie niet hebben ingeseind voor evenementen met alle chaos van dien als gevolg. Ik had de email gelijk verwijderd, vorig jaar voor een fractie van hun prijs de kaarten gekocht via een dumpkanaal (viagogo).
Rolfie @BovenHond18 maart 2024 08:47
Ik denk dat die 40 mensen ook niet verantwoordelijk zijn voor de technische inrichtingen van de ICT.

Daar hebben ze partners voor die hun hierover adviseren en het inrichten.
willieverhoef @BovenHond18 maart 2024 08:01
Ja mag er vanuit gaan dat voor hosting gebruik wordt gemaakt van een partner. Die waarschijnlijk een hoog uurtarief heeft neergelegd.
kodak
@BovenHond19 maart 2024 13:14
Zelfs zzp'ers horen en kunnen aan de eisen voldoen dus die omvang is een slecht excuus om mee te beginnen. Laat ze maar aantonen genoeg moeite gedaan te hebben, wat ze wettelijk al horen te doen voor het met persoonlijke gegevens mis gaat.
makreel 18 maart 2024 07:33
Typo in title: phising
SpaceKees 18 maart 2024 08:21
De organisatie is welk bekend met vissen, kijk maar naar de race van 2021, perfect weer om te vissen

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq