News items for tag spam - Koos van den Hout

Naast het gebruiken van bitcoin om mensen af te persen is er altijd ook de optie om in te breken op bitcoin accounts om de buttcoins van anderen te stelen. Het voordeel van het niet gebruiken van banken voor geldzaken is dat je ook niet de mogelijkheid hebt om misdaad met geld te onderzoeken dus als je de buttcoins kan stelen kun je er mee wegkomen.

Vandaag ontving ik een phishing mail die van 'Bitvavo' zou zijn, wat blijkbaar iets doet met buttcoins en andere cryptocurrencies. Verder hebben de criminelen goed opgelet bij phishing mails voor banken en gebruiken ze de standaard methodes van phishing: urgentie, voldoen aan regelgeving en een simpele handeling om toegang te krijgen tot je rekening. Met als toegevoegde stap de qrcode zodat je niet zomaar een url-analyzer af kan laten gaan op je mail en je de phishing site (dus de 'verificatiestappen') opent in je mobiele browser en minder makkelijk dingen kan controleren.

Het spoor:

• De qrcode scant naar http://lnkiy.in/VKwZG
• Redirect: https://360corporatetours.com/wp-admin/images/bit.php deze url ziet er uit als een gehackte wordpress site.
• Hier komt een html redirect naar: https://bitvavo.22497-4837.s2.webspace.re/

En dat ziet er erg uit als een bitvavo login page.

Update 2023-01-12

Ik heb ondertussen geleerd dat het prima mogelijk is om bitcoin te traceren, dit is de primaire activiteit van het bedrijf 'Chainalysis'. In de Darknet diaries podcast is dit uitgebreid besproken in de aflevering Welcome To Video - Darknet Diaries. De aflevering gaat over een groot onderzoek waarin bitcoin chain analysis het mogelijk maakte om verdachten op te sporen.

Ik heb een tijd niet over de bitcoin afpersingsmails geschreven, maar deze kwam vandaag voorbij in redelijk goed nederlands. Het leest alsof de originele taal anders is maar het is goed vertaald zonder kromme zinnen.

Helaas begin ik met slecht nieuws voor je. Enkele maanden geleden heb ik toegang weten te krijgen tot het apparaat waarmee je nu op het internet zit te surfen. Sinds die tijd heb ik al je internetactiviteiten bijgehouden.

Omdat je een regelmatige bezoeker bent van pornosites, denk ik dat je nu even op moet letten. Je hebt je lot namelijk zelf in de hand. Ik zal het simpel houden, ik via de website die je hebt bezocht toegang gekregen tot je gegevens.

Ik heb een trojan horse geupload naar het driver systeem die zijn fingerprint meerdere keren per dag blijft updaten, zodat het onmogelijk is voor jouw antivirus software om hem te detecteren. Bovendien geeft deze me toegang tot je camera en microfoon. Ook heb ik een back-up gemaakt van alle gegevens, inclusief foto's, social media, chats en contacten.

Maak het bedrag van 950 USD in BTC over naar mijn Bitcoin-wallet, en ik zal deze hele situatie laten rusten. Ik garandeer dat ik alle data en video's permanent zal verwijderen zodra de betaling is ontvangen.

Dat lijkt me een bescheiden en redelijke vergoeding voor al mijn harde werk. Je kunt zelf wel uitzoeken hoe je Bitcoins kunt kopen met behulp van zoekmachines als Google of Bing, want dat is allemaal helemaal niet zo moeilijk.

Mijn Bitcoin-portemonnee (BTC): 1CKiipxrHHRz4HFWMxk6Q4v5hGUs7vHPML

Hier staat al een melding van iemand die hetzelfde mailtje heeft ontvangen, waarmee gelijk duidelijk is dat de afzender helemaal niets heeft maar het leuk zou vinden als de bitcoin-wallet bijgevuld wordt.

Er staat ook een link naar een site die beweerd je te helpen als je het slachtoffer wordt van bitcoin-oplichters. Die hulp zorgt er dan voor dat je twee keer het slachtoffer wordt van bitcoin-oplichters, dus dat is ook niet aan te raden.

Weer een verse phishing mail, met dit keer de qrcode inline. Het pad:

• URL uit qrcode: http://lnkiy.in/MejZA
• Redirect: https://t.co/IwUW4C65FX
• Redirect: https://rebrand.ly/96piay7
• Redirect: https://s.id/1ph8T
• Redirect: https://gezat.co.tz/wp-admin/includes/kvk.php
• Redirect: https://21989-4437.s1.webspace.re/KVK/
• De echte phishing pagina! Eindelijk. Deze stuurt de ingevulde data naar https://21989-4437.s1.webspace.re/KVK/tmg1.php
• Daarna komt een redirect naar https://21989-4437.s1.webspace.re/KVK/2.php en die geeft uiteindelijk een redirect naar een KVK pagina.

Als ik kijk bij het overzicht Kamer van Koophandel - Fraudehelpdesk zie ik mijn specifieke bericht er niet tussen staan, maar er is keuze genoeg. Allemaal fraudepogingen, dus trap hier niet in!

Ik zag een phishing mail met daarin een qrcode om te volgen. Dat is natuurlijk een manier om te voorkomen dat mailscanners direct de URL herkennen als verdacht. Alleen wilde mijn mailclient die afbeelding niet zomaar inladen want remote, want dat is allang verdacht.

• Afbeelding: https://qr.de/code/ySVDbB.png
• URL uit qrcode: https://qr.de/ySVDbB
• Redirect https://lnkd.in/dqiBJCcD
• Redirect http://bit.do/0214nl85479651
• Redirect https://21981-4426.s3.webspace.re/

En daar is de phishing pagina die om allerlei persoonsgegevens vraagt.

Correctie: was. De pagina is al weg. Maar als een van de redirects bijgesteld wordt door de crimineel gaat een en ander natuurlijk weer verder!

Als ik kijk bij het overzicht Kamer van Koophandel - Fraudehelpdesk zie ik mijn specifieke bericht er niet tussen staan, maar er is keuze genoeg. Allemaal fraudepogingen, dus trap hier niet in!

Update: De qr.de redirect is zelfs weg, dus de crimineel zal nieuwe spam mails moeten versturen.

Ik kreeg vandaag een phishing mailtje gericht aan:

Cher(ère) client(e) Maes-Swerts/A.,

Votre abonnement Proxumis a été suspendu, car vous avez fait opposition à un règlement de dette. Tant que le problème n'a pas été résolu, vous ne pouvez utiluser aucune de vos services proxumis.

De resulterende pagina wil een credit-card betaling. Dus verzamelt gewoon credit-card gegevens. Ik zou me bijna afvragen hoe snel er fraude komt als ik daar echte gegevens invullen. Ik denk dat het in de orde van minuten is, maar dat wil ik niet testen.

De spam voor 'Maes-Swerts/A.' is nu al meer dan 10 jaar bezig!

Eerder, eerder, eerder, eerder, eerder, eerder, eerder de originele ontdekking in 2012.

Summertime is also time for some extortion scamming... this one just in:

Hi. How are you?

I know, it’s unpleasant to start the conversation with bad news, but I have no choice.
Few months ago, I have gained access to your devices that used by you for internet browsing.
Afterwards, I could track down all your internet activities.

Here is the history of how it could become possible:
At first, I purchased from hackers the access to multiple email accounts (nowadays, it is a really simple thing to do online).
As result, I could easily log in to your email account

One week later, I installed Trojan virus in Operating Systems of all devices of yours, which you use to open email.
Frankly speaking, it was rather straightforward (since you were opening the links from your inbox emails).
Everything ingenious is quite simple. (o_0)!

..

Here is my bitcoin wallet provided below: bc1q82tvkvmzjzyqf60guqpxhcn2tuapqup35a9ldr

You should complete the abovementioned transfer within 48 hours (2 days) after opening this email.

The following list contains actions you should avoid attempting:
#Do not try calling police as well as other security forces. In addition, abstain from sharing this story with your friends.
After I find out (be sure, I can easily do that, given that I keep complete control of all your devices) – your kinky video will end up being available to public right away.
#Do not try searching for me – there is absolutely no reason to do that. Moreover, all transactions in cryptocurrency are always anonymous.
#Do not try reinstalling the OS on your devices or throwing them away. It is pointless as well, since all your videos have already been uploaded to remote servers.

As always: don't fall for these scams.

Earlier items about bitcoin extortion scams: Earlier, earlier, earlier, earlier, earlier, earlier, earlier, earlier, earlier (although I think bitcoin is generally a really bad idea and a huge scam)

Today I'm seeing bounces of bitcoin scam mail, with about the same text as in the bitcoin extortion scam of about a week ago, but with a different bitcoin wallet.

In the body of the mail the claim is that the criminal hacked the mailbox of the victim and can now send as the victim, but this criminal decided to 'get even' with me at the same time and contradict himself by setting the sender address to my e-mail address.

So I'm now browsing the bounces and see the bitcoin wallet for this scam is 1Mjt2xobFExdZBGfjTVDcgzJWQxRxoHBdA which hasn't scammed anyone yet.

As always: don't fall for these scams.

Earlier items about bitcoin extortion scams: Earlier, earlier, earlier, earlier, earlier, earlier, earlier, earlier, earlier (although I think bitcoin is generally a really bad idea and a huge scam)

I hadn't seen these in my inbox in English for a while, but here we go again.

Hi! You can consider this message as the last warning. We've hacked your
system!
This information can destroy your reputation once and for all in a matter in
minutes. You have the opportunity to prevent irreversible consequences. To do
so you need to:

Transfer 1200 USD (US dollars) to our Bitcoin wallet.
Don't know how to make a transfer? Enter "Buy Bitcoin" into the search box.

Our Bitcoin wallet (BTC Wallet): bc1q4r05c7wdazh87ty9x9968e2r90w72rhtq5jl43

After you make the payment, your video and audio recordings will be
completely destroyed and you can be 100% sure that we won't bother you
again. You have time to think about it and make the transfer - 50 hours!

As always: don't fall for these scams.

Earlier items about bitcoin extortion scams: Earlier, earlier, earlier, earlier, earlier, earlier, earlier, earlier (although I think bitcoin is generally a really bad idea and a huge scam)

After receiving another mail in the mail exchange that made me note Microsoft outlook.com wasn't blocking my mailserver anymore we're back right in the same spot:

   ----- Transcript of session follows -----
... while talking to outlook-com.olc.protection.outlook.com.:
>>> MAIL From:<***** .at. idefix.net> SIZE=2035 BODY=7BIT
<<< 550 5.7.1 Unfortunately, messages from [45.83.232.134] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3150). You can also refer your provider to http://mail.live.com/mail/troubleshooting.aspx#errors. [BN8NAM11FT026.eop-nam11.prod.protection.outlook.com]
554 5.0.0 Service unavailable

Aaargh. I thought it wasn't broken anymore. Utterly unreliable stuff at Microsoft.

And I'm back to having to use SMS to explain to very non-technical people why their mail isn't getting through: because they are using outlook.com.

Update 2022-06-13
As a workaround I am now using SMTP2GO to send mail to outlook.com and hotmail.com. SMTP2GO does interesting things (even in a free account) to get the mail delivered and keep their mail 'reputation' in the plus. I hate having to use such a service to get my mail delivered but this is one of those signs that Internet e-mail has been demolished by spammers.

Recently I tried to contact someone with an outlook.com address and it went fine. So it seems the really annoying block I ran into earlier is gone. I still get enough spam from/via outlook.com so I'm still not convinced the spamfiltering at outlook is working very well but that's a different rant. The incoming block is now gone.