Vanochtend (09:51) ontving ik een email van ChareneBriel@postbank.nl. Als medewerker van de ING kreeg ik al argwaan toen ik de afzender zag, helemaal toen ik de email las!
Of ik even mijn Postbank Online access details wilde invullen op een webformulier...
Nu ben ik geen Postbank Online gebruiker, maar de email was duidelijk van een Phisher want de Postbank zou nooit vragen om die gegevens even in te vullen op een webpagina anders dan om in te loggen op de website. Dus heb ik de email meteen doorgestuurd naar een collega Security Officer van de Postbank, al was het maar dat 'ie een origineel zou hebben.
Toen de source bekeken.
De email is op Sat, 04 Jun 2005 02:50:46 +0000 verzonden met een Outlook Express email client (Microsoft Outlook Express V6.00.2900.2180) en werd door mijn emailserver ontvangen van: pool-71-96-226-54.dfw.dsl-w.verizon.net (de nummers zijn ook het ip- address van de verzendende emailserver) op: Fri, 3 Jun 2005 23:03:31 -0400 (EDT).
Meteen maar een telnet geprobeerd op port 25 om te zien of die mischien open stond voor anonymous relaying, maar niet. Dus waarschijnlijk gaat het om een gebruiker, aangesloten op het Verizon netwerk.
De bron van de email liet ook de link zien die gebruikt werd om te phishen:
"http://www.google.be/url?q=http://go.msn.com/HML/5/1.asp?target=
http://%61w%636%78s1%%2E%64a.rU%%%09/"target=_blank>
http://www.postbank.nl/
AYGZ8BJq8cxKK1D9DoueirV5sxskdUMyOIxxRH33bCxWehWWxr8b3700gu33195"
Kennelijk een website in het russische .ru top level domain.
Het is me nog niet helemaal duidelijk hoe de gebruikte website url, %61w%636%78s1%%2E%64a.rU%%%09, is ge-encode. Maar daar zal Google me wel bij helpen:)
Overigens stond er om 11:58 al een bericht op nu.nl.
Daar werd niet de afzender genoemd waarvan ik de email heb ontvangen. Er zijn dus meerdere varaianten...
Abonneren op:
Reacties posten (Atom)
Geen opmerkingen:
Een reactie posten