@jerry Full list of the mastodon phishing domains based on their DGA so far:

form8411[.]icu
form94211[.]icu
form9213[.]icu
form9411[.]icu
form7411[.]icu
form68441[.]icu
form3412[.]icu
form5412[.]icu
form58441[.]icu
form74211[.]icu
form9412[.]icu
form8213[.]icu
form8412[.]icu
form64211[.]icu
form6411[.]icu
form88441[.]icu
form2451[.]icu
form5213[.]icu
form54211[.]icu
form98441[.]icu
form78441[.]icu
form6213[.]icu
form5411[.]icu
form7213[.]icu
form84211[.]icu
form7412[.]icu
form6412[.]icu

#phishing #mastodon #fakesupport #threatintel

#ClickFix went from virtually non-existent to the second most common attack vector blocked by #ESET, surpassed only by #phishing. This novel social engineering technique accounted for nearly 8% of all detections in H1 2025. #ESETresearch
ClickFix lures users by displaying bogus error messages followed by quick fix instructions, including copy-pasting malicious code. Running the code in the victim’s command line interpreter delivers malware such as #RATs, infostealers, and cryptominers.
Between H2 2024 and H1 2025, ESET’s detection for ClickFix, HTML/FakeCaptcha, skyrocketed by 517%. Most detections in ESET telemetry were reported from Japan (23%), Peru (6%), and Poland, Spain, and Slovakia (>5% each).
What makes #ClickFix so effective? The fake error message looks convincing; instructions are simple, yet the copied command is too technical for most users to understand. Pasting it into cmd leads to compromise with final payloads, including #DarkGate or #LummaStealer.
While #ClickFix was introduced by cybercriminals, it’s since been adopted by APT groups: Kimsuky, Lazarus; Callisto, Sednit; MuddyWater; APT36. NK-aligned actors used it to target developers, steal crypto and passwords from Metamask and #macOS Keychain.
#ClickFix uses psychological manipulation by presenting fake issues and offering quick solutions, which makes it dangerously efficient. It appears in many forms – error popups, email attachments, fake reCAPTCHAs – highlighting the need for greater vigilance online.
Read more in the #ESETThreatReport:
🔗 https://welivesecurity.com/en/eset-research/eset-threat-report-h1-2025

🚨 Scam Alert: "Verify your Fedi account" Phishing Attempt 🚧

Attention everyone on Mastodon! There's a scam making the rounds where malicious actors impersonate moderators or admins. They send private messages or make posts that mimic notifications, claiming that your account needs verification. These messages often include a link for you to "complete the verification process."

⚠️ This is a Scam!

Your server admin will never ask you to click a link to verify your account.
No other admin from any other server will either, even if they appear to be part of the main Mastodon team.
If your account is suspended, you won't receive a message about it. Instead, you'll see a notification upon logging in that your account is temporarily suspended.

How to Identify the Scam:

Fake admin accounts often use names containing "moderator" or "admin," but this doesn't mean they are legitimate.
Legitimate admins or instance owners usually have a badge or marking on their profile indicating their role.

What to Do:

If you receive a message or post urging you to click a link to verify your account, report it immediately.
If you have any doubts about your account status, contact your server admin or moderation team directly.
To verify the authenticity of an admin or instance owner, visit the "About" page of your instance. This page typically lists contact information for the real team administering your instance.
Always be cautious when interacting with accounts claiming to be from Mastodon or your instance's admin team.

Important Reminder:

Mastodon does not perform age verification. If you receive a message or post claiming to be from Mastodon or your instance's admin team, always verify its authenticity before taking any action.

Reporting the Scam:

If you encounter this scam, report it to your instance's admin team and use relevant tags, such as #FediBlock, to help raise awareness.

Personal Note:

I'm not a cybersecurity expert, but I find this new scam in the Fediverse quite interesting. If you feel like sharing your experiences with me, I would appreciate it! I'm looking to collect cases and get a broader view of this phishing attack. Maybe I'll even try to write a report about it. Feel free to tag me in any relevant posts.

Let's stay vigilant and help each other stay safe online!

#Mastodon #Fediverse #ScamAlert #Phishing #CyberSecurity #OnlineSafety #FediBlock #StaySafe #TechCommunity #SocialMedia #ScamAwareness #SecurityTips #ReportScams #VerifyBeforeYouTrust

ALT

Whoever's trying to phish us with this is certainly persistent (and using a at least a few different domains across a number of emails).

Classic phishing tactics:
* Something will be bad if you don't do it
* You don't have much time

Also classic lamerisms:
* No name/company name
* Total BS domain name
* Doesn't state their "company" name
* Footer links don't work (all href="#")

Their web page is hosted via Cloudflare by the looks of it.

#phishing

ALT

The Russians aren't coming, they are already here. Without most anyone realizing, they've created an entire malicious adtech industry whose story is just as complex as the Chinese organized crime we're now realizing from their ventures into pig butchering.

VexTrio is just one Russian organized crime group in the malicious adtech world, but they are a critical one. They have a very "special" relationship with website hackers that defies logic. I'd put my money on a contractual one. all your bases belong to russian adtech hackers.

Today we've released the first piece of research that may eventually prove whether I am right. This paper is hard. i've been told. I know. We've condensed thousands of hours of research into about 30 pages. @briankrebs tried to make the main points a lot more consumable -- and wrote a fabulous complimentary article : read both!

There's so much more to say... but at the same time, between ourselves and Brian, we've released a lot of lead material ... and there's more to come. I've emphasized the Russian (technically Eastern European) crime here, but as Brian's article points out there is a whole Italian side too. and more.

We've given SURBL, Spamhaus, Cloudflare, Domain Tools, several registrars, and many security companies over 100k domains. They are also posted on our open github.

Super thanks to our collaborators at Qurium, GoDaddy Sucuri Security, and elsewhere.

#threatintel #scam #tds #vextrio #cybercrime #cybersecurity #infosec #dns #infoblox #InfobloxThreatIntel #malware #phishing #spam

https://blogs.infoblox.com/threat-intelligence/vexing-and-vicious-the-eerie-relationship-between-wordpress-hackers-and-an-adtech-cabal/

https://krebsonsecurity.com/2025/06/inside-a-dark-adtech-empire-fed-by-fake-captchas/

🆕 blog! “What's up with this "Please add me on WhatsApp" robocall spam?”

Over the last few weeks, I've received several calls which all have the same modus operandi. A disembodied robotic voice tries to get me to connect on WhatsApp.

https://shkspr.mobi/blog/wp-content/uploads/2025/05/add-me-on-whatsapp.mp4

Some of the voices are…

👀 Read more: https://shkspr.mobi/blog/2025/05/whats-up-with-this-please-add-me-on-whatsapp-robocall-spam/
⸻
#phishing #scam #spam #WhatsApp

🚨 Phishing: let op de domeinnaam!
🧵 1/3: info over veiliger internetten

🏷️ Een domeinnaam is het "adres" van een website, ook wel "webadres" genoemd. Voorbeeld, in

https:⧸⧸nos.nl/l/2563624

is "nos.nl" de domeinnaam (in die link heb ik "⧸⧸" i.p.v. "//" gebruikt om te voorkómen dat Mastodon het protocol verstopt, zoals in https://nos.nl/l/2563624).

🌐 Iedereen (ook criminelen) kunnen nagenoeg elke niet-bezette domeinnaam huren. Aan bijvoorbeeld
nefkens-opel.nl
kunt u NIET zien dat deze NIET (meer?) van Nefkens is. Bovendien kan alles in webpagina's nep zijn.

🔒 Bij een https:// verbinding (te zien aan een hangslotje of, in Chrome, twee horizontale koffielepeltjes "in standje 69") weet u twee dingen:

1) Uw browser heeft *daadwerkelijk* verbinding met de website waarvan de domeinnaam in de adresbalk staat (*);

2) Die verbinding is versleuteld.

Dat zegt *NIETS* over wie de eigenaar is van de website, laat staan of deze betrouwbaar is (het kan net zo goed om een crimineel gaan). Aanvankelijk stond die informatie wél in certificaten, maar dat is "gedoe" voor certificaatuitgevers en eigenaren van websites. Zij hebben het tot úw probleem gemaakt om uit te zoeken wie de eigenaar is. Zie ook https://security.nl/posting/884230).

(*) Zie 🧵 3/3.

⬅️ U kunt een domeinnaam het beste van rechts naar links lezen.

💡 Uitgebreide uitleg over domeinnamen leest u in https://tweakers.net/nieuws/216878/ministerraad-stemt-in-met-gebruik-gov-punt-nl-als-domein-voor-overheidswebsites.html?showReaction=19450852#r_19450852 (als u niet de reactie van "Anoniem: 1576590" te zien krijgt, helpt opnieuw openen van de link meestal).

🦊 Firefox-gebruikers opgelet: bij een te lange domeinnaam laat Firefox (stom genoeg) het meest linkse i.p.v. het meest rechtse deel van de domeinnaam zien.
Meer daarover in 🧵 2/3.

🪝 PHISHING GISTEREN GEZIEN

Bij het analyseren van https://www.virustotal.com/gui/ip-address/104.21.48.1/relations kwam ik een "verse" phishingsite tegen, zie het linker plaatje hieronder.

Tip: domeinnamen die eindigen op
.pages.dev en .workers.dev
zijn meestal kwaadaardig.
#CloudflareIsEvil - zie 🧵 3/3.

Op de links getoonde website heb ik een (fantasie-) hotmail.com e-mailadres ingevuld. Daarop werd mijn browser doorgestuurd naar een volgende phishingsite met een extreem lange domeinnaam, waar Chrome (op Android) het rechterdeel van laat zien; zie het rechter plaatje.

(Lees verder in de volgende toot, als reactie op deze).

Edit 11:24: link naar security.nl was defect.

#Phishing #Domeinnaam #WebAdres #Domeinnamen #Certificaten #httpVShttps #httpsVShttp

ALT

ALT

Virussen en phishing

(Een late reactie op een discussie tussen @EllyvA en @ximaar eindigend met https://mastodon.nl/@EllyvA/114064535418745561).

Computervirussen, in de zin van malware (malicious software) die zichzelf verspreidt, zie ik nauwelijks nog - omdat mensen geen floppies meer gebruiken om gegevens uit te wisselen.

Cybercriminelen gebruiken nu vooral social engineering om mensen te bestelen, of om aan vertrouwelijke gegevens te komen waarmee zij vervolgens mensen overtuigen dat zij een betrouwbare partij zijn.

Als zij malware maken bestaat de kwaadaardige component uit een programma (of script in het een of andere document) dat zij bij elke verspreiding wijzigen, en eerst testen op alle gangbare virusscanners (waardoor de meeste scanners aanvankelijk kansloos zijn).

In een steeds groter deel van de gevallen maakt malware misbruik van standaard onder Windows geïnstalleerde software ("lolbins" - Living Of the Land binaries) of installeert een legitieme driver waarmee verhoogde rechten (administrator privileges) worden verkregen.

Ook zeer populair zijn RAT's, Remote Access Tools zoals Teamviewer en Anydesk (steeds vaker misbruikt ook op Android en iPhones). Mensen wordt vaak voorgelogen dat zij een virusscanner zouden moeten installeren - en dat is dus zo'n RAT, zie https://infosec.exchange/@ErikvanStraten/113987804370380156.

En inderdaad is phishing een gigantisch probleem - waar virusscanners nauwelijks of niet tegen helpen, omdat criminelen steeds nieuwe domeinnamen gebruiken (vb: https://security.nl/posting/879531) voor hun websites, en vaak captcha's inzetten waar virusscanners niet "doorheen komen".

Het komt ook voor dat automatisch door browsers verzonden gegevens, en/of IP-adressen, en/of tijdstip van de dag vaak aan specifieke criteria moeten voldoen wil de kwaadaardige versie van een website worden getoond (zie screenshot, druk Alt voor meer info).

Het beste dat je kunt doen, na het openen van een webpagina, is niet op de inhoud letten maar op de DOMEINNAAM (in de adresbalk van de browser). Voor veel te veel mensen is het echter (nagenoeg) onmogelijk om vast te stellen dat een gegeven domeinnaam *niet* van de gesuggereerde organisatie is - en hier bestaat helaas geen SIMPEL en betrouwbaar recept voor.

#Phishing #Virusscanners #SocialEngineering #BigTechIsEvil #GoogleIsEvil #CloudflareIsEvil

ALT

PGO's: Agema liegt dat zij barst

Nb. een PGO is een "Persoonlijke Gezondheids Omgeving" (meer hierover in https://www.pgo.nl).

Volgens https://www.security.nl/posting/883501/Minister%3A+curator+verantwoordelijk+dat+failliete+PGO-leverancier+AVG+naleeft zei minister Agema m.b.t. een failliete PGO-aanbieder:

"Je gegevens zijn van jezelf en die blijven bij de bron. Op het moment dat de app weg is, zijn de gegevens ook weg".

In https://www.security.nl/posting/883670/PGO%27s%3A+minister+Agema+liegt beargumenteer ik waarom minister Agema op maar liefts drie aspecten liegt:

1) Gegevens van/over jou zijn (juridisch gezien) niet van jou. Het verkopen van "jouw" gegevens kan een "gerechtvaardigd" belang zijn van "ondernemers". Vooral van (bijna) failliete. Wie zou je daarna aan moeten klagen?

2) Met een PGO blijven jouw medische gegevens *niet* uitsluitend bij "de bron". De kans dat de PGO-aanbieder daar een kopie van op haar (cloud) servers heeft staan, schat ik in op bijna 100%.

3) De kans dat het verwijderen van een app (op jouw smartphone of tablet) ertoe leidt dat al jouw gegevens bij een (failliet gaande) PGO-aanbieder worden verwijderd, schat ik in op ca. 0%.

Trap niet in de leugens van suf-gelobbiede (en mogelijk corrupte) -en vaak het bedrijfsleven ondersteunende- politici!

#PGO #Agema #Volksverlakkerij #Meldpunt #EHDS #AVG #GDPR #AP #AutoriteitPersoonsGegevens #Privacy #Risicos #PrivacyRisicos #KNLTB #GerechtvaardigdBelang #Datalek #Phishing

ALT

Well, this is a new type of #phishing to me!

Wonder how well it works?

Je viens de publier un cours intitulé "Identité et méthodes d'authentification" sous licence CC-BY : https://broken-by-design.fr/posts/cours-id-authn/

Ce cours s'adresse aux personnes de niveau M2 et aux professionnel.les débutant.es, même si les plus expérimenté.es pourraient y trouver des informations intéressantes.

Il comprend une introduction aux différents types de référentiels d'identités, avant de plonger dans l'authentification, sous des angles juridiques et techniques. Authentification multifacteur, forte, résistante au phishing, assurant de bonnes garanties de vie privée ! Authentification à l'état de l'art ! Vous pourrez en apprendre plus à ces sujets grâce à ce cours.

Et ce n'est que la première partie ! Ce mois-ci, une seconde partie sera publiée, sur le sujet de l'autorisation, avec un TP de mise en place de #Keycloak pour une authentification fédérée avec OpenID Connect! À suivre !

#oidc #webauthn #identité #authentification #saml #tls #motdepasse #password #snc #eidas #dsp2 #infosec #cours #ccby4 #phishing

Avast antivirus blijkt Anydesk app

Bankhelpdeskfraudeurs (die telefoonnummers van banken kunnen spoofen) vertellen vaak aan slachtoffers dat er geld van hun rekening wordt gestolen, en dat zij snel im actie moeten komen om de schade te beperken.

Dit leidt bij veel mensen tot paniek waardoor zij niet helder meer kunnen denken. Een ala hulpvaardig overkomend iemand aan de telefoon is dan zeer welkom; zo iemand wordt al snel vertrouwd, vooral als de beller allerlei informatie over het slachtoffer heeft dat alleen de bank zou kunnen weten.

De beller zegt dat er gestolen wordt omdat er een computervirus op de PC of smartphone van het slachtoffer staat. Om nieuwe diefstal te voorkómen is haast geboden en moet een virusscanner van een door de beller opgegeven website worden gedownload en geïnstalleerd. Eén van de vele URLs die criminelen daarvoor opgeven luidt:

https:⧸⧸avastpdq·com

Die website wordt momenteel (met nog veel meer andere nepwebsites) gehost op een server in Rusland - met het IP-adres dat te zien is in de volgende URL: https://www.virustotal.com/gui/ip-address/193.143.1.14/relations (VirusTotal is een dochter van Google waarmee je bestanden en websites door ca. 94 verschillende virusscanners kunt laten analyseren). Scanresultaten van genoemde *website* ziet u in https://www.virustotal.com/gui/domain/avastpdq.com/details.

Toen ik die criminele website zojuist (met Chrome op mijn Android smartphone) opende, kon ik kiezen voor het downloaden van "Avast antivirus" voor Android of voor iOS (als ik voor die laatste kies, wordt mijn browser doorgestuurd naar https://apps.apple.com/us/app/anydesk/id1176131273).

Ik heb de *Android* versie van "Avast antivirus" gedownload: die app blijkt "anydesk.apk" te heten (zie onderstaande screenshots).

Nb. het gaat om een *echte* (ongewijzigde) versie van Anydesk.

Maar weinig Nederlanders weten dat Anydesk geen virusscanner is, maar een RAT (Remote Access Tool)

En een slimme. Want, voor anderen met een internetaansluiting is het meestal onmogelijk om een netwerkverbinding met uw PC of smartphone te maken; uw modem (en mogelijk ook nog een firewall) blokkeert namelijk inkomende verbindingen (de andere kant op, van uw PC of smartphone naar een server op internet, kan matuurlijk wel).

RAT's als AnyDesk en Teamviewer werken daar omheen: zowel de app die door u gestart wordt, als de app van een cybercrimineel, maken verbinding met een centrale server - waardoor de cybercrimineel uw PC, smartphone of tablet via die server kan "overnemen". Die cybercrimineel ziet dan *uw* scherm. En wat die hufter invoert, gaat naar uw device.

Ik heb het niet getest, maar als een slachtoffer de app start, toont deze vermoedelijk een getal o.i.d. dat het slachtoffer via de telefoon aan de oplichter moet doorgeven - die daarmee de verbinding met uw device tot stand kan brengen - en bijv. uw app voor internetbankieren starten (wellicht kan dat zonder dat u dat ziet).

Druk in onderstaande plaatjes op "Alt" voor meer info.

Aanvulling 01:02: zie ook https://www.security.nl/posting/875910 (en de posting bovenaan die pagina, naast de vele comments).

#Phishing #Spoofing #AitM #BankHelpdeskFraude #Oplichting #NepWebsites #OnlineOplichting #Avast #Antivirus #Anydesk #RAT #TeamViewer #DVCerts #NiemandDoetErIetsTegen #Cybercrime #CyberCriminelen #Rusland

ALT

ALT

ALT

ALT

iPhone/iPad gebuikers: security-tip!

Sinds iOS en iPadOS versie 18.2 heeft Safari (de standaard webbrowser, het blauwe kompas) een instelling die het openen van websites veiliger maakt, vooral als u van publieke WiFi gebruik maakt (restaurant, trein, hotels etc).

Sla hieronder gerust alle tekst over die u niet interessant lijkt. Maar zet die instelling aan, voor uw eigen bestwil (en doe dat ook bij uw ouders)!

🔹 Laatste update iOS/iPadOS
Controleer sowieso regelmatig of uw iPhone of iPad de laatste update geïnstalleerd heeft: open "Instellingen" (het grijze tandwieltje), open "Algemeen" en vervolgens "Software update" (doe dat alleen als u een WiFi-internetverbinding heeft, anders kan het ten koste gaan van uw telefoonrekening).

De laatste versie op dit moment is 18.3.

🔹 Nieuwe Safari instelling
Na het updaten en opnieuw opstarten opent u in "Instellingen" onderaan "Apps". Zoek naar "Safari" en open dat.

Scroll het scherm naar boven totdat u het lichtgrijze kopje "PRIVACY EN BEVEILIGING" ziet.

Daaronder zou moeten staan: "Waarschuwing voor onveilige verbindingen" (standaard staat die instelling uit).

Als u dat AAN zet toont Safari u een *waarschuwing* als er (ook tijdelijk) gebruik gemaakt wordt van een verbinding met
http://
in plaats van met
https://

🔹 Toelichting
Bij http:// weet u, vooral op een minder vertrouwd netwerk (zoals WiFi in een vliegveld, zie https://www.bleepingcomputer.com/news/security/australian-charged-for-evil-twin-wifi-attack-on-plane/), niet zeker of Safari echt een verbinding heeft met de server waarvan u de website-naam in de adresbalk van Safari ziet.

(Techneuten zeggen "domeinnaam" i.p.v. "website-naam").

Sterker, u kunt http:// vergelijken met wegwijzers die door vandalen in een andere richting kunnen worden gedraaid, waardoor u (als u geen moderne navigatie gebruikt) de verkeerde kant op kunt worden gestuurd.

🔹 Risico: omleiding naar nepsite
Vergelijkbaar, bij http:// kan een aanvaller Safari, zonder dat u gewaarschuwd wordt, doorsturen naar een nepwebsite (die als twee druppels op de echte lijkt) - doch met een iets afwijkende (of totaal andere) website-naam. Als die nepwebsite https:// ondersteunt, merkt u *niet* dat Safari naar een andere website is gestuurd dan door u bedoeld.

🔹 Waarom https:// wél veilig is
Bij het gebruik van uitsluitend https:// is "omleiden" nagenoeg onmogelijk. Als genoemde Safari-instelling AAN staat, maakt het niets uit of u bijvoorbeeld google.com of http://google.com intikt in de adresbalk: Safari: maakt daar dan automatisch https:// van vóórdat verbinding met de server wordt gemaakt.

🔸 Nadeel: thuisapparaten
Nadeel: sommige websites, vooral "smart" apparatuur in uw huis (waaronder de beheer-interface van uw modem, zoals de laatste van Ziggo) ondersteunt https:// vaak niet. Als u bijvoorbeeld http:⧸⧸192.168.178.1 moet openen, zal Safari u waarschuwen *voordat* de verbinding wordt gemaakt. Als u op "Ga verder" drukt, werkt alles als vanouds.

🔸 Nadeel: oude sites en "jumpsites"
Een ander voorbeeld zijn stompzinnige "jump sites" zoals http://gemeente.amsterdam (deze ondersteunt uitsluitend http:// en dat is, voor overheden, tegen de wet). Als het *goed* is stuurt bovenstaande link Safari door naar https://amsterdam.nl (die link begint wel met https://).

Risico: als u, op een onvertrouwd netwerk, http://gemeente.amsterdam opent, loopt u het risico dat Safari naar een nepwebsite wordt doorgestuurd, met bijvoorbeeld de naam
gemeenteamsterdam·com
of
amsterdam·top
en u geen enkele foutmelding ziet (en de getoonde pagina als twee druppels op de echte kan lijken). Nb. in die laatste twee websitenamen heb ik de laatste punt vervangen door · (een hoge punt) om onbedoeld openen te voorkómen.

🚨 Let op: "Ga verder" = http:// 🚨
Als u genoemde instelling in Safari aanzet (wat ik 100% aanraad, dit zou m.i. een standaard-instelling moeten zijn in alle browsers), en u krijgt het waarschuwingsscherm te zien (zie het tweede plaatje): als u op "Ga verder" drukt, wordt meteen de onveilige http:// verbinding gemaakt (zonder verdere vragen). Let dan dubbel goed op de vervolgens in de adresbalk van Safari getoonde websitenaam!

🔹 Resetten
Als u een http:// verbinding heeft toegestaan (zoals met http://gemeente.amsterdam), onthoudt Safari dat een tijd (ik weet nog niet of dit tijdbegrensd is, waarschijnlijk wel). Als u Safari sluit, door de geopende app van het scherm te vegen, *lijkt* Safari alle toestemmingen te vergeten die u voor http:// verbindingen gegeven heeft.

Desnoods (dit raad ik af) kunt u Safari dwingen om onthouden toestemmingen te verwijderen door de gehele geschiedenis van Safari te wissen. Advies: vóór dat u dat doet, exporteer eerst alle website-data, want onthouden inloggegevens bent u ook kwijt als u de hele browsergeschiedenis wist. Met zo'n export kunt u terug naar de oude situatie door het export-bestand weer te importeren.

🔹 Over de plaatjes hieronder
Meer informatie ziet u door op "Alt" in het plaatje te drukken. Het linkerplaatje laat de nieuwe instelling voor Safari zien.
Voor het rechterplaatje heb ik http://http.badssl.com gekozen. Dat heb ik gedaan omdat ik wat wisselende ervaringen had met http://gemeente.amsterdam.

(Voor techneuten: Safari onthoudt onder mij nog onbekende omstandigheden dat het om een jumpsite gaat. In een export van de browsergeschiedenis zag ik in "Geschiedenis.json", onder "http://gemeente.amsterdam" o.a. een regel:
"destination.url" : "https://www.amsterdam.nl" - als de browser dat benut wordt er geen http gebruikt).

🔹 Over http://http.badssl.com
De website https://badssl.com bevat allerlei pagina's en sub-website-namen om browsers te testen, en is -voor zover ik weet- betrouwbaar. Niet alles is up-to-date (bijv. het certificaat van https://extended-validation.badssl.com/ is verlopen).

🔹 Andere testsites
In plaats van te testen met http://gemeente.amsterdam kunt u ook testen met bijv. http://http.badssl.com en http://www.buitenhoftv.nl.

M.b t. die laatste: als u 2x op more/meer drukt in https://youtube.com/watch?v=WalOiq0mrNw ziet u onder:
"Meer van Buitenhof:
» Vind"
een https:// link naar www.buitenhoftv.nl - maar u wordt belazerd (die jumpsite ondersteunt uitsluitend http). Precies daarom raad ik aan om deze Safari instelling aan te zetten. Ook sommige QR-codes bevatten http-links terwijl de site óók https ondersteunt.

Met enorme dank aan Thomas Bosboom ✅
(@thomasbosboom) die mij op deze instelling wees in https://infosec.exchange/@thomasbosboom/113945617133456130!

#iOS #iPadOS #Safari #Beveiliging #iPhone #iPad #httpVShttps #httpsVShttp #WiFi #PubliekWifi #EvilTwin #AitM #MitM #Netwerken #OnbetrouwbaarNetwerk #Phishing #Spoofing #ValseWebsites #NepWebsites

ALT

ALT

⚠️ Important ⚠️ Discord's e-mail has been compromised.

If you get an e-mail claiming your account is suspending or claiming someone else has signed in to your account, do NOT click on any of the links inside the email. Even if it came from Discord.

Someone is using Discord's e-mail server to collect and hijack people's accounts.

#Discord #Security #InfoSec #InfoSecurity #Hacking #Phishing #Email

Evil Google targets Canadians

Since Oct. 25 2024 (maybe earlier), Google is hosting a bunch of phishing websites, mostly targeting Canadians, on at least 20 of their servers in different countries.

To clarify, the DNS records of roughly 150 unique domain names (including "www." variants) change nearly every day to point to another IP address. There's a significant overlap in the domain names per server; obviously the same criminals are pulling this off.

A few examples of (obviously phishing) domain names (more details in a follow-up toot):

11/94 canada-post-office·com
16/94 reschedule-cp·app
11/94 carbonrebatecanadaservice·com
11/94 gigadatcanada·com
7/94 rogersverify·com
13/94 rbcteam-royalbank·com
14/94 secureloginsroyalbank·com
13/94 royalbank-verifysecure·com

Notes:
• At the left the number of virus scanners (of 94) is shown that, according to VirusTotal.com, currently identifies mentioned websites as malicious (this number does not include virus scanners that warn only, like "suspicious" or "spam").

• I've replaced the dot by a · (high dot) to prevent accidental opening of websites with the mentioned domain names.

• None of the obviously malicious websites I checked were detected by "Google Safe Browsing" (according to VirusTotal.com - a company owned by Google).

Google earns huge amounts of money by renting server space to cybercriminals. They don't care about vulnerable people getting robbed.

DV (Domain Validated) certificates are obtained for free and fully anonymously by the adversaries. Renting domain names is very cheap compared to the profits made.

My estimate is that way more than half of the domain names ever registered was or is used for malicious purposes.

Big tech WANTS cybercriminals to remain anonymous; it's an important part of their business model. We all pay the price.

Credits to Guy Bruneau for providing the lead for my research in https://isc.sans.edu/diary/Phishing%20for%20Banking%20Information/31548.

🧵 Continued in https://infosec.exchange/@ErikvanStraten/113737899006464714

@sans_isc

#Google #Evil #GoogleIsEvil #BigTech #Profits #Cybercrime #Phishing #GoogleFacilitatesCybercrime

📨 Latest issue of my curated #cybersecurity and #infosec list of resources for week #51/2024 is out!

It includes the following and much more:

➝ #McDonald's India Breached

➝ More Cybercriminals Sentenced to Prison Time

➝ #Meta and #Netflix Fined in Europe

➝ Major #Phishing Campaign in #Europe

➝ Israeli #Spyware Company Bought by US Private Equity

Subscribe to the #infosecMASHUP newsletter to have it piping hot in your inbox every week-end ⬇️

https://infosec-mashup.santolaria.net/p/infosec-mashup-512024?r=299go8

🔔 Heads-up: There is currently a #phishing campaign targeting #Codeberg users.

If you receive a notification that insults you and your project for poor code quality, combined with an offer to "fix" the problems when you send some money, please ignore and report to us: Mention "@moderation" in response to the issue or forward the email to abuse@codeberg.org.

We are trying to stay ahead of the noise before the notifications are sent.

J'en ai tellement marre des emails de sensibilisation aux risques informatiques de société PloufPlouf qui t'expliquent qu'il faut faire attention à l'orthographe et que des fautes sont un signe qu'il faut se montrer prudent.

1) ça place la responsabilité sur les utilisateurs et utilisatrices alors qu'iels sont les victimes ; z'en avez pas marre de blamer les victimes ?

2) on peut observer des emails frauduleux sans faute, et qui sont même irréprochables sur le plan technique ; c'est mon métier, et parfois, même moi j'ai du mal et je suis obligé de me faire confirmer la légitimé par le CERT bancaire de l'expéditeur... oui, bancaire... bref...

3) bordel c'est quoi le rapport entre le fait d'être frauduleux et l'orthographe ? Il y a que les nigériens (référence au "scam nigérien") qui écrivent "mal" le français ? C'est quoi ce préjugé raciste de merde ?

Alors les petits potes, vous prenez vos responsabilités d'informaticien.nes, et vous adoptez des technologies qui protègent les gens, peu importe sur quoi ils cliquent, ce qu'ils révèlent de leurs infos personnelles, et vous arrêtez de leur casser les couilles sur l'orthographe.

#infosec #cybersecurity #cybersécurité #phishing #hameconnage

📨 Latest issue of my curated #cybersecurity and #infosec list of resources for week #50/2024 is out!

It includes the following and much more:

➝ 27 #DDoS-for-hire Platforms Shut Down

➝ #Security Flaw in #Skoda Cars

➝ European Union Implemented Cyber Resilience Act (CRA)

➝ A #Spyware Tool Linked to Chinese Police

➝ Voice #Phishing Ring Busted

Subscribe to the #infosecMASHUP newsletter to have it piping hot in your inbox every week-end ⬇️

https://infosec-mashup.santolaria.net/p/infosec-mashup-502024?r=299go8&utm_campaign=post&utm_medium=web&showWelcomeOnShare=true

Important reminder, if you own a domain name and don't use it for sending email.

There is nothing to stop scammers from sending email claiming to be coming from your domain. And the older it gets, the more valuable it is for spoofing. It could eventually damage your domain's reputation and maybe get it blacklisted, unless you take the steps to notify email servers that any email received claiming to come from your domain should be trashed.

Just add these two TXT records to the DNS for your domain:
TXT v=spf1 -all
TXT v=DMARC1; p=reject;

The first says there is not a single SMTP server on earth authorized to send email on behalf of your domain. The second says that any email that says otherwise should be trashed.

If you do use your domain for sending email, be sure to add 3 records:
SPF record to indicate which SMTP server(s) are allowed to send your email.
DKIM records to add a digital signature to emails, allowing the receiving server to verify the sender and ensure message integrity.
DMARC record that tells the receiving email server how to handle email that fails either check.

You cannot stop scammers from sending email claiming to be from your domain, any more than you can prevent people from using your home address as a return address on a mailed letter. But, you can protect both your domain and intended scam victims by adding appropriate DNS records.

UPDATE: The spf and the dmarc records need to be appropriately named. The spf record should be named "@", and the dmarc record name should be "_dmarc".

Here's what I have for one domain.

One difference that I have is that I'm requesting that email providers email me a weekly aggregated report when they encounter a spoof. gmail and Microsoft send them, but most providers won't, but since most email goes to Gmail, it's enlightening when they come.

#cybersecurity #email #DomainSpoofing #EmailSecurity #phishing

ALT

📨 Latest issue of my curated #cybersecurity and #infosec list of resources for week #45/2024 is out!

It includes the following and much more:

➝ #Snowflake Alleged Hacker Arrested

➝ #Nokia Looking Into Potential #Breach

➝ #INTERPOL Disrupted 22k Malicious Servers

➝ #Meta Fined $15.7M in South Korea

➝ #Docusign Used for #Phishing

➝ #Roblox Users Targeted;

Subscribe to the #infosecMASHUP newsletter to have it piping hot in your inbox every week-end ⬇️

https://infosec-mashup.santolaria.net/p/infosec-mashup-452024?r=299go8&utm_campaign=post&utm_medium=web

NEW REPORT by @citizenlab in collaboration with Access Now, First Department, Arjuna Team and RESIDENT.ngo uncovers a sophisticated and highly-personalized #phishing campaign targeting civil society members in the US and Europe, including Russian opposition in exile, NGOs, and media outlets.

Report led by John Scott-Railton, Rebekah Brown with Ksenia Ermoshina and Ron Deibert.
Read the full report here 👇
https://citizenlab.ca/2024/08/sophisticated-phishing-targets-russias-perceived-enemies-around-the-globe/

Hoe de Politiehack precies heeft plaatsgevonden, weet ik niet.

Wel weet ik dat veel "experts"hun kop in het zand steken of mij zelfs voor gek verklaren als ik schrijf dat:

1) Het opzet is dat mensen op internet nep niet van echt kunnen onderscheiden (https://security.nl/posting/859906/Speculatie_over_Politie-hack), en dat daar *dringend* iets aan gedaan moet worden;

2) Zij aanraden om zwakke MFA (https://security.nl/posting/859561/MFA-2FA_is_als_peniciline) te gebruiken in plaats van een wachtwoordmanager die op domeinnamen checkt;

3) Onder hen er *zelfs* zijn die stellen dat we, op *dit* internet, EDIW veilig zouden kunnen gebruiken (reactie op een posting van Ivo Jansch, één van de architecten van EDIW: https://tweakers.net/nieuws/204138/#r_18249704). Welliswaar met de opmerking dat er alternatieven moeten blijven bestaan (die er nu ook niet meer zijn voor communicatie met de overheid of met uw bank).

Zie ook https://www.security.nl/posting/827137/Kopie-ID-Kap-Ermee#posting833162, bovenaan die pagina en https://www.security.nl/posting/833217/Internet-toenemende_impersonatie.

#Politiehack #Politie #MFA #2FA #ZwakkeMFA #Zwakke2FA #DV #Certificaten #LetsEncrypt #LetsAuthenticateTheWebsiteFirst #AitM #MitM #Phishing #EvilProxy #PhaaS #Evilginx2 #EDIW #EUDIW #EC #KopieID #KopietjePaspoort #VideoIdent

(Bron van onderstaand plaatje: https://www.maxvandaag.nl/sessies/themas/media-cultuur/waarom-steken-we-ons-hoofd-in-het-zand-als-het-lastig-wordt/)

ALT

Durov gepakt, Cloudflare niet (en IDN's)

Onderaan https://security.nl/posting/859616 schreef ik (hieronder heb ik de Belgische domeinnaam "onschadelijk" gemaakt door er spaties in op te nemen):
«
Pavel Durov wordt gearresteerd omdat hij criminelen anonimiteit biedt, maar big tech (Cloudflare, Google, Let's Encrypt etc.) komen daar massaal mee weg.

Eén voorbeeld (Cloudflare proxy, Cloudflare cert):
https:// www. lîdl. be/login
(nog steeds live, zie ook https://infosec.exchange/@ErikvanStraten/113110017627459641).
»

Iets heel anders: eens kijken hoe door mij onder Android en iOS gebruikte wachtwoordmanagers op IDN's (*) reageren, zie de screenshots hieronder (merk op dat de î in lîdl met een dakje geschreven is).

(*) IDN = International Domain Name. Deze maken gebruik van Unicode fonts (lettertypes) maar zijn uitsluitend bedoeld om te *tonen*. Op internet worden uitsluitende ASCII domeinnamen ondersteund. Om toch IDN's te kunnen tonen, worden de echte domeinnamen gecodeerd in iets dat met "xn--" begint, zogenaamde Punycode.

a) Linksboven: Android Autofill en/of KeePassDX laat de Punycode van de domeinnaam zien na het drukken in één van de invoervelden.

b) Rechtsboven: iOS geeft niks prijs met ingestelde Autofill voor zowel KeePassium en iCloud Keychain.

c) Linksonder: iCloud Keychain nadat ik daar een wachtwoord voor
    "https:// www .lîdl .be"
heb toegevoegd (zonder die spaties er in). Eerder had ik al een wachtwoord voor
    "https:// www .lidl .be"
toegevoegd als test om te kijken of iCloud Keychain *dat* wachtwoord zou voorstellen, maar dat gebeurde gelukkig niet.

d) Rechtsonder: iPhone na het verversen van de pagina en het drukken in één van de invoervelden (bekende kwetsbaarheid: bij bepaalde instellingen worden iCloud Keychain wachtwoorden (en soms zelfs passkeys) *zonder* lokale authenticatie vrijgegeven, zie ook https://infosec.exchange/@ErikvanStraten/112475265109490182).

Edited 16:22: plaatje vervangen omdat er info in te zien was van welliswaar een testaccount, maar ik krijg al genoeg spam.

#Wachtwoordmanagers #AutoFill #Punycode #Unicode #iOS #iPadOS #Kwetsbaarheden #iPhone #iPad #Android #KeePassDX #KeePassium #iCloudKeychain #Cybercriminaliteit #Anonimiteit #Telegram #PavelDurov #Phishing #BigTech #Cloudflare #NepVanEchtKunnenOnderscheiden #EchtVanNepKunnenOnderscheiden

ALT

ALT

ALT

ALT