securitybananas.com

Waar men in november 2009 mee startte, is weer begonnen: wederom een phishing campagne tegen gebruikers van de (voormalige) Postbank. De phishers zijn er wederom op uit om het ‘ip-adres’ te laten registreren:

Opvallend is natuurlijk de aanhef in het Engels en vervolgens de (slechte) Nederlandse tekst. We hebben hier te maken met een ‘phishing’ e-mail. Interessant is om te onderzoeken wie er achter deze campagne zitten.
Na de headers te hebben onderzocht werd er een ip-adres aangetroffen waar vandaan de e-mail werd verstuurd; dit ip-adres behoorde niet toe aan de ING cq Postbank; het ip-adres stond op een aantal black-lists vermeldt. Het ip-adres staat bekend als een adres in SPAM campagnes.
De e-mail is afkomstig van het adres ‘verification@postbank.nl’ . Het domein’postbank.nl’ is een bestaand domein dat eigendom is van de ING groep. Vermoedelijk hebben de phishers onderzoek gedaan naar dit domein en zoveel mogelijk informatie te gebruiken om de e-mail zo echt mogelijk te laten lijken. Gekoppeld aan het ipadres dat gebruikt wordt voor het domein ‘postbank.nl’ zit ook het domein ‘mijn postbank.nl’, dat eveneens genoemd wordt in de e-mail.

Gevolg van het gebruik van het postbank domein is dat inmiddels dit domein op een blacklist is geplaatst (abuse.rfc-ignorant.org). Het is voor een organisatie absoluut niet wenselijk om op een blacklist te komen. Dit kan inhouden dat klanten niet e-mail van de Postbank in dit geval ontvangen.
Vervolgens wordt in de e-mail een link vermeldt waar je geacht wordt je ip-adres te registreren. Het betreft de link:
hxxp://www.advance2go.org.uk/mode/parameters/onlineaccess/mijn.ing.htm
Kijkend naar deze URL kunnen we eigenlijk al zien dat dit niet afkomstig is van de ING of Postbank. Wat zou een domein in de U.K. nu met een inlog van de ING moeten doen?
Overzicht domein ‘advance2go.org.uk’:

Het domein ‘advance2go.org.uk’ behoort toe aan een hosting bedrijf gevestigd in Sheffield, UK. Diverse sites worden door dit bedrijf gehost waaronder de website voor de stad Londen.
Bij het bezoeken van de URL werd een 404-error vermeld; de site is inmiddels al uit de lucht gehaald.
Een andere URL die ook werd waargenomen:
hxxp://www.teenreviewblog.com/_vti_dp/sitefiles/secureserver/mijn.ing.htm
Dit leverde het volgende resultaat op:

Bij het raadplegen van deze website vanuit een Sandbox omgeving alarmeert Firefox voor het feit dat het hier een vervalste site betreft. Inmiddels is deze website uit de lucht gehaald.
Overige gebruikte (vervalste) sites:
hxxp://www.mifl.co.cc/_vti_data/secure/customers/mijn.ing.htm
hxxp://www.ceshaiti.org/data/resources/onlineaccess/mijn.ing.htm
hxxp://www.intrepidearth.net/cache/private/secure/mijn.ing.htm

Inmiddels zijn alle sites bij Phistank aangemeld en afgesloten.

No comments

This information was provided to me by Longshot & Mark McKinnon (Just passing this great information along).

Decoding the DateCreated and DateLastConnected registry values from the registry keys

SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\{GUID}

In Vista and Windows 7

The DateCreated and DateLastConnected are binary values that can be broken up into 4 byte parts, with 1 part left over. Each 4 byte part corresponds to a value of a date. The order of the values are as follows:

Year
Month
Weekday
Day
Hour
Minutes
Seconds

Each of these 4 byte parts is in little endian. Using the following data that was unpacked from binary and converted to hex we get the following translation:

d9070200020018001700140025000001

d907 0200 0200 1800 1700 1400 2500 0001

Year = h4 = d907 = 07d9 = 2009

Month = h4 = 0200 = 0002 = Month {Jan = 1, Feb = 2, etc….}

Weekday = h4 = 0200 = 0020 = Weekday {Sunday = 0, Monday = 1, etc…}

date = h4 = 1800 = 0018 = 24

hour = h4 = 1700 = 0017 = 23

minutes = h4 = 1400 = 0014 = 20

Seconds = h4 = 2500 = 0025 = 37

The Month and Weekday fields have to be converted to their proper Month and weekday name.

which would yield the following:

Date First Connected: Tuesday, 24 February 2009 23:20:37

Here is the perl code to do the above, I only include the $data as a place holder that would need to get data fed to it:

use strict;

# This is the binary data that would be read from the registry file
my $data = “”;

my %month_type = (1 => “January”,
2 => “February”,
3 => “March”,
4 => “April”,
5 => “May”,
6 => “June”,
7 => “July”,
8 => “August”,
9 => “September”,
10 => “October”,
11 => “November”,
12 => “December”);

my %dayofweek_type = (0 => “Sunday”,
1 => “Monday”,
2 => “Tuesday”,
3 => “Wednesday”,
4 => “Thursday”,
5 => “Friday”,
6 => “Saturday”);

my ($year, $month, $weekday, $date, $hour, $minute, $second ) = unpack(“h4 h4 h4 h4 h4 h4 h4″, $data);

#This part converts the year
my $finalyear= hex(reverse $year);

#Now we convert the month
my $monthnumber=hex(reverse $month);
my $finalmonth = $month_type{$monthnumber};

#Now we convert the weekday
my $weekdaynumber=hex(reverse $weekday);
my $finalweekday = $dayofweek_type{$weekdaynumber};

# This converts the date
my $finaldate=hex(reverse $date);

#This converts the hour
my $finalhour=hex(reverse $hour);

#This converts the minute
my $finalminute=hex(reverse $minute);
my $howlongisfinalminute=length($finalminute);
if ($howlongisfinalminute == 1){
$finalminute=”0$finalminute”;
}
if ($finalminute eq “0″){
$finalminute=’00′;
}

#This converts the second
my $finalsecond=hex(reverse $second);
my $howlongisfinalsecond=length($finalsecond);
if ($howlongisfinalsecond == 1){
my $finalsecond=”0$finalsecond”;
}
if ($finalsecond eq “0″){
$finalsecond=’00′;
}

my $ssidtimestamp= “$finalweekday, $finaldate $finalmonth $finalyear $finalhour:$finalminute:$finalsecond”;
if ($n =~ /Created/){
$finaln=”Date First Connected:”;
} else {
$finaln=”Date Last Connected:”;
}

print “$finaln $ssidtimestamp\n”;

No comments

For all phreaskers: if you type following code on your I-phone you can enter the fieldtest modus.

*3001#12345#*

After this you can read the GSM cell data:
*********************
* – MM info *
* – UMTS Cell Environment *
* – PDP Context list *
* – GSM Cell Environment *
*********************
Have Phun!

Comments are off for this post