securitybananas.com

Waar men in november 2009 mee startte, is weer begonnen: wederom een phishing campagne tegen gebruikers van de (voormalige) Postbank. De phishers zijn er wederom op uit om het ‘ip-adres’ te laten registreren:

Opvallend is natuurlijk de aanhef in het Engels en vervolgens de (slechte) Nederlandse tekst. We hebben hier te maken met een ‘phishing’ e-mail. Interessant is om te onderzoeken wie er achter deze campagne zitten.
Na de headers te hebben onderzocht werd er een ip-adres aangetroffen waar vandaan de e-mail werd verstuurd; dit ip-adres behoorde niet toe aan de ING cq Postbank; het ip-adres stond op een aantal black-lists vermeldt. Het ip-adres staat bekend als een adres in SPAM campagnes.
De e-mail is afkomstig van het adres ‘verification@postbank.nl’ . Het domein’postbank.nl’ is een bestaand domein dat eigendom is van de ING groep. Vermoedelijk hebben de phishers onderzoek gedaan naar dit domein en zoveel mogelijk informatie te gebruiken om de e-mail zo echt mogelijk te laten lijken. Gekoppeld aan het ipadres dat gebruikt wordt voor het domein ‘postbank.nl’ zit ook het domein ‘mijn postbank.nl’, dat eveneens genoemd wordt in de e-mail.

Gevolg van het gebruik van het postbank domein is dat inmiddels dit domein op een blacklist is geplaatst (abuse.rfc-ignorant.org). Het is voor een organisatie absoluut niet wenselijk om op een blacklist te komen. Dit kan inhouden dat klanten niet e-mail van de Postbank in dit geval ontvangen.
Vervolgens wordt in de e-mail een link vermeldt waar je geacht wordt je ip-adres te registreren. Het betreft de link:
hxxp://www.advance2go.org.uk/mode/parameters/onlineaccess/mijn.ing.htm
Kijkend naar deze URL kunnen we eigenlijk al zien dat dit niet afkomstig is van de ING of Postbank. Wat zou een domein in de U.K. nu met een inlog van de ING moeten doen?
Overzicht domein ‘advance2go.org.uk’:

Het domein ‘advance2go.org.uk’ behoort toe aan een hosting bedrijf gevestigd in Sheffield, UK. Diverse sites worden door dit bedrijf gehost waaronder de website voor de stad Londen.
Bij het bezoeken van de URL werd een 404-error vermeld; de site is inmiddels al uit de lucht gehaald.
Een andere URL die ook werd waargenomen:
hxxp://www.teenreviewblog.com/_vti_dp/sitefiles/secureserver/mijn.ing.htm
Dit leverde het volgende resultaat op:

Bij het raadplegen van deze website vanuit een Sandbox omgeving alarmeert Firefox voor het feit dat het hier een vervalste site betreft. Inmiddels is deze website uit de lucht gehaald.
Overige gebruikte (vervalste) sites:
hxxp://www.mifl.co.cc/_vti_data/secure/customers/mijn.ing.htm
hxxp://www.ceshaiti.org/data/resources/onlineaccess/mijn.ing.htm
hxxp://www.intrepidearth.net/cache/private/secure/mijn.ing.htm

Inmiddels zijn alle sites bij Phistank aangemeld en afgesloten.