Networkforensic
Threat hunting
Elendige dårlige phishing scammers
09 April Februar 2021 - Blog Post # 794
Forsøg på misbrug i forbindelse med
Corona, pas, e-boks, Nemid og Postnord osv.
Hvor dårlig kan man blive til phishing kampanger ? Det er helt vildt
så dårligt udført det her er.
Stoppede en phishing mail, der vil se ud som den kom fra e-boks, men
oplysninger viser postnord og payload skal hentes på
billingpostnord[.]com. Det er en stor rodebutik, men det matcher med
de mange andre daglige kampanger der er målrettet danskere for tiden
med PostNord tema.
Postnord phishing kampanger imod alle
Igennem det seneste lange stykke tid har jeg dagligt set phishing
mails sendt imod danske virksomheder og private og lige netop
PostNord temaet er ret omfattende misbrugt. Men jeg ser også mange
ligheder imellem fejl der i disse kampanger og hvor den "person" der
sidder og opfinder de domæner der benyttes i disse kampanger,
simpelthen er så dårllig til at finde på nye navne at ligheden
imellem 90% af dem er i samme udformning.
Lige netop denne kampange har samme karakteristika som jeg har set
tidligerer. Det er jo helt vildt skrald at benytte tema fra
tidligere eller kommende postnord kampanger til at forsøge at
misbruge bruge e-boks. Hvem vil lige uploade billeder af sit PAS til
nogen som helst.
Opfordring til NC3 (Politiet)
Jeg vil rigtigt gerne komme med en venlig opfordring til NC3
(Politiet) til at begynde at lave noget efterforskning denne
gang. For en gang skyld på noget der kan beskytte mange danskerer og
virksomheder, da der rent faktisk er noget at gå efter i de mange
phishing mails med postnord tema. De sammen benytter iøvrigt Nemid
tema også.
Jeg er ret overbevist om at det er den/de samme personer, der står
bag de fleste af disse kampanger. Det vil være med til at få lukket
ned for de mange daglige angreb, vi ser imod danskerer og danske
virksomheder.
Opfordring til Postnord
Noget andet jeg har bemærket i forbindelse med Postnord, er at når
man snakker med folk eller bare selv bestiller en vare hvor Postnord
skal leverer pakken, så vil man endten samtidigt eller inden for
minutter/timer efter bestillingen også modtage den første phishing
mail med Postnord tema. Det kunne være værd for postnord på den
observation lige at få gennemgået egne servers, for jeg er ret
overbevist om at "nogen" følger med i hvornår der sendes valide
mails ud. Det er ikke et tilfælde, der er for meget røg.
Anbefaling til beskyttelse imod disse Phishing mails
Vær opmærksom på at postnord kun sender mail fra følgelde mail
adresser
de har selv beskrevet her.
Samme type information bør andre statslige institutioner oplyse om.
Det kan hjælpe i kampen imod Phishing.
Whitelist følgende afsenderer:
noreply@postnord.dk
noreply@postdanmark.dk
Blacklist følgende afsendere eller replay to
noreply@postnord.com
no-reply@postnord.com
OBS - Nogen virksomheder bruger følgende URL når de sender besked
til brugerne med et tracking nummer. Dette kan findes i content i
mailbody. I disse tilfælde er mailen typisk valid. Til dem der
sender mails ud fra deres web-shop burde droppe det. Man er nød til
at lave undtagelser på anden vis her. Kommer lidt an på hvilket
system man benytter til SPAM håndtering.
https://tracking.postnord.com*
Yderligere kan man tilføje følgende SPAM regler til SPAM
håndteringen i content.
Søg efter content i mailbody. Sørg for at whitelist filteret på de
valide afsender adresser kommer før content regler.
https://*postnord.blogspot.com/
https://*postnord.com/
https://*postnord*.com/
https://postnord*.com/
https://www.*.com/.postNord.dk/
https://postnord*.online/
Happy Hunting.......
NF IDS Rules
5 Latest Updates
Binaryedge Recon
Brave Browser
TOR-Brower 10.x
Shodan Scanning rules
Suspicious User agent
Download