Networkforensic

Threat hunting

Elendige dårlige phishing scammers

 09 April Februar 2021  - Blog Post # 794

Forsøg på misbrug i forbindelse med Corona, pas, e-boks, Nemid og Postnord osv.
Hvor dårlig kan man blive til phishing kampanger ? Det er helt vildt så dårligt udført det her er.
Stoppede en phishing mail, der vil se ud som den kom fra e-boks, men oplysninger viser postnord og payload skal hentes på billingpostnord[.]com. Det er en stor rodebutik, men det matcher med de mange andre daglige kampanger der er målrettet danskere for tiden med PostNord tema. 

Postnord phishing kampanger imod alle
Igennem det seneste lange stykke tid har jeg dagligt set phishing mails sendt imod danske virksomheder og private og lige netop PostNord temaet er ret omfattende misbrugt. Men jeg ser også mange ligheder imellem fejl der i disse kampanger og hvor den "person" der sidder og opfinder de domæner der benyttes i disse kampanger, simpelthen er så dårllig til at finde på nye navne at ligheden imellem 90% af dem er i samme udformning.

Lige netop denne kampange har samme karakteristika som jeg har set tidligerer. Det er jo helt vildt skrald at benytte tema fra tidligere eller kommende postnord kampanger til at forsøge at misbruge bruge e-boks. Hvem vil lige uploade billeder af sit PAS til nogen som helst.

Opfordring til NC3 (Politiet)
Jeg vil rigtigt gerne komme med en venlig opfordring til NC3 (Politiet)  til at begynde at lave noget efterforskning denne gang. For en gang skyld på noget der kan beskytte mange danskerer og virksomheder, da der rent faktisk er noget at gå efter i de mange phishing mails med postnord tema. De sammen benytter iøvrigt Nemid tema også.

Jeg er ret overbevist om at det er den/de samme personer, der står bag de fleste af disse kampanger. Det vil være med til at få lukket ned for de mange daglige angreb, vi ser imod danskerer og danske virksomheder.

Opfordring til Postnord
Noget andet jeg har bemærket i forbindelse med Postnord, er at når man snakker med folk eller bare selv bestiller en vare hvor Postnord skal leverer pakken, så vil man endten samtidigt eller inden for minutter/timer efter bestillingen også modtage den første phishing mail med Postnord tema. Det kunne være værd for postnord på den observation lige at få gennemgået egne servers, for jeg er ret overbevist om at "nogen" følger med i hvornår der sendes valide mails ud. Det er ikke et tilfælde, der er for meget røg. 

Anbefaling til beskyttelse imod disse Phishing mails
Vær opmærksom på at postnord kun sender mail fra følgelde mail adresser de har selv beskrevet her.
Samme type information bør andre statslige institutioner oplyse om. Det kan hjælpe i kampen imod Phishing.

Whitelist følgende afsenderer:
noreply@postnord.dk
noreply@postdanmark.dk

Blacklist følgende afsendere eller replay to
noreply@postnord.com
no-reply@postnord.com

OBS - Nogen virksomheder bruger følgende URL når de sender besked til brugerne med et tracking nummer. Dette kan findes i content i mailbody. I disse tilfælde er mailen typisk valid. Til dem der sender mails ud fra deres web-shop burde droppe det. Man er nød til at lave undtagelser på anden vis her. Kommer lidt an på hvilket system man benytter til SPAM håndtering.

https://tracking.postnord.com*

Yderligere kan man tilføje følgende SPAM regler til SPAM håndteringen i content.
Søg efter content i mailbody. Sørg for at whitelist filteret på de valide afsender adresser kommer før content regler.

https://*postnord.blogspot.com/
https://*postnord.com/
https://*postnord*.com/
https://postnord*.com/
https://www.*.com/.postNord.dk/
https://postnord*.online/

Happy Hunting.......
 

 NF IDS Rules
5 Latest Updates   

Binaryedge Recon

Brave Browser

TOR-Brower 10.x

Shodan Scanning rules

Suspicious User agent

Download