[Headers] Zo herken je een phisher

Gisteren legde ik uit wat headers zijn. Vandaag ga ik een stapje verder. Ik analyseer een oud mailtje uit mijn Yahoo! inbox. Het mailtje ziet eruit alsof het van een bank komt, maar niets is minder waar.

ING-bedrog

Zoals je ziet is dit een vreemd mailtje. In de naam van de afzender zie je dat er een punt voor de naam van ING staat. Verder staan er diverse interpunctie- en spelfouten in de mail die een bankmedewerker niet zo gauw zou maken. Maar stel je voor dat je zelf ook niet zo goed in spelling bent en misschien wat naïef van aard. Dan zou het kunnen dat degene die dit mailtje heeft gestuurd, beet heeft.

Er zijn echter meer dingen dan alleen de tekst van een mailtje, die aangeven dat er hier sprake is van phishing, een poging om in dit geval mijn bankgegevens te stelen. Net als bij mijn eigen mailtje kijk ik naar de headers. In Yahoo Mail tover ik die tevoorschijn door boven het mailtje te klikken op More -> View Full Header.

In een pop-upvenster krijg ik de volgende informatie te zien:

(Klik op de headers om te zien wat ze betekenen.)


From .ING Fri Aug 23 17:18:06 2013
X-Apparently-To: maurits_reijnoudt@yahoo.com via 98.138.85.141; Sat, 24 Aug 2013 00:18:10 +0000
Return-Path: misbruik@nl.ing.com
Received-SPF: none (domain of nl.ing.com does not designate permitted sender hosts)

Hier horen de alarmbellen te gaan rinkelen. SPF is een systeem om te checken of een IP-adres toestemming heeft om te mailen namens het domein, in dit geval nl.ing.com. Dat is niet het geval. De domeinnaam is makkelijk te vervalsen, maar kan dus door SPF worden opgepikt. Blijkbaar was het voor het spamfilter van Yahoo! niet voldoende reden om het mailtje te weigeren.

c2JydWlrIHZlcm9vcnphYWt0IGRvb3Iga2xhbnRlbiB2YW4gZGUgSU5HLiBJ
ZWRlcmVlbiBrYW4gZWVuIGtsYWNodCBvdmVyIG1pc2JydWlrIGluZGllbmVu
X-YMailISG: GAcgG1MWLDt.8jli5EQtzGmsv3_suJVm1buMoR.O8jE93yI_
MCT7b_1OwK4EtQjng0MVdExA39LwbBWq57WGqjCNs.HZO1mDacthUnGL4hlF
LbKrdwCj4NrS_pVwqSlmSCv5OKTupIQxjgTQQBoxoqyCPH5WJe3ZzLh40raF
f50slX7eCxfROPcOb.8.RUYLDGQrfh4LD.IcKlkoL9NGLR6xtwqiWEp_PSYc
eLGbfwOq_CnovwRQDDMgDvcdPbQgsU0WWLxEiby8KAM-

Deze lange reeks met karakters – ik heb ‘m voor het gemak wat ingekort – is door Yahoo! toegevoegd.

X-Originating-IP: 195.190.28.81
Authentication-Results: mta1412.mail.bf1.yahoo.com from=nl.ing.com; domainkeys=neutral (no sig); from=nl.ing.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO smarthost1.greenhost.nl) (195.190.28.81)
by mta1412.mail.bf1.yahoo.com with SMTP; Sat, 24 Aug 2013 00:18:10 +0000

Hier kan je zien waar de server van Yahoo! op gecontroleerd heeft. Zoals je kunt lezen komt het mailtje van nl.ing.com. domainkeys=neutral (no sig) betekent dat er is gecontroleerd op een sleutel. Een domein dat e-mail verstuurt kan een sleutel toevoegen in alle mailtjes die verstuurd worden. De server die het mailtje ontvangt, kan dan controleren of de afzender van het mailtje wel overeen komt met de werkelijke verzendende server. Echter: er is geen handtekening toegevoegd, dus weet je nog niks, behalve dat er sprake zou kunnen zijn van een dubieus mailtje, maar dat is niet zeker.


Hier begint het mailtje echt interessant te worden.


Received: from smtp.greenhost.nl (213.108.104.138)
by smarthost1.greenhost.nl with esmtps (TLS1.0:RSA_AES_256_CBC_SHA1:32)
(Exim 4.69)
(envelope-from misbruik@nl.ing.com)
id 1VD1YO-0003m3-8T
for maurits_reijnoudt@yahoo.com; Sat, 24 Aug 2013 02:18:08 +0200
Received: from ip120-80-210-87.adsl2.static.versatel.nl (87.210.80.120 helo=23twats.nl)
by smtp.greenhost.nl with esmtpsa (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32)
(Exim 4.72)
(envelope-from misbruik@nl.ing.com)
id 1VD1YO-0000cW-HF
for maurits_reijnoudt@yahoo.com; Sat, 24 Aug 2013 02:18:08 +0200

Hier klopt iets niet. Technisch is het bovenstaande helemaal in orde. Echter; zou ING de mailtjes versturen vanaf een IP-adres van Versatel? Bij de bovenste Received-header staat smarthost1.greenhost.nl. Dat betekent dus dat de e-mail ook een Greenhostserver is gepasseerd. Genoeg informatie om te kunnen zien dat dit mailtje zeer waarschijnlijk niet van ING afkomstig is.

MIME-Version: 1.0
From: .ING misbruik@nl.ing.com
Reply-To: misbruik@nl.ing.com
To: maurits_reijnoudt@yahoo.com
Subject: Opgelet: Overlast van uw account
Content-Type: multipart/alternative;
boundary=----=_NextPart_001_4DD6_753739BA.4C6D030D
X-Mailer: Smart_Send_2_0_138
Date: Sat, 24 Aug 2013 02:18:06 +0200

Dit is wat reguliere informatie die je ook kunt zien in het mailtje dat ik naar mezelf stuurde. Bij de X-Mailer-header, zie je het programma waarmee de mail is verstuurd: SmartSend2.0.138.

Message-ID: 6104368973024939731259@Laptop

Een hele interessante header. Een Message-ID eindigt vaak op een domeinnaam. Die kan van de verzendende server zijn of van het apparaat waarvanaf het mailtje is verstuurd. Waarschijnlijk heette de computer van degene die dit mailtje verstuurde ‘Laptop’. Erg dubieus.

List-Unsubscribe: mailto:?subject=Unsubscribe
X-Authenticated-As-Hash: c73eefca5cd5cfd1fc4eb7468a96c6569132909e
X-Virus-Scanned: by clamav at smarthost1.samage.net

Hier komen we weer een Greenhostserver tegen. Dat verwacht je niet van ING.

X-Spam-Level: -
X-Spam-Score: -1.9
X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00,HTML_MESSAGE autolearn=disabled version=3.3.1
X-Scan-Signature: b1d7cd7c4865bacd8cc28201708f08cd
Content-Length: 8862

Hier lees je nog wat informatie over het spamfilter, de score en de handtekening die het spamfilter heeft achtergelaten.

Als je zelf graag een keer de headers van een mailtje onderzoekt, kun je dat in Outlook.com doen door te klikken op de drie puntjes en vervolgens op ‘Berichtbron weergeven’.
headersinhotmail

In Gmail kun je de headers zien door te klikken op het pijltje rechtsbovenin het mailtje en vervolgens op ‘Origineel weergeven’.
headersingmail

De Nederlandse banken hebben wel vaker te maken met mensen die hun identiteit gebruiken om bankgegevens te ontfutselen. Volgens het CBS waren er in 2012 zo’n 200.000 slachtoffers van skimming, phishing en pharming. Phishing en pharming zijn beiden manieren om de gebruiker naar een ander webadres te lokken dan het vertrouwde adres van bijvoorbeeld een bank. Daar waren in 2012 een kleine 60.000 gevallen van.

Ben of ken je iemand die slachtoffer is geworden van een valse e-mail? Laat het me weten.

5 Thoughts on “[Headers] Zo herken je een phisher

  1. Marcel on februari 7, 2014 at 9:38 am said:

    Je hebt een tricky voorbeeld genomen aangezien Greenhost een respectabele Nederlandse hoster is en ING best gebruik zou kunnen maken van hun hosting diensten.

    De regel…

    Received: from ip120-80-210-87.adsl2.static.versatel.nl (87.210.80.120 helo=23twats.nl)

    …is inderdaad verdacht. Vooral ook omdat er “adsl” in zit en dat duidt meestal op een consumenten-internetverbinding, oftewel een gehackte pc van iemand (Versatel = Tele2). Ook de helo melding “23twats.nl” komt verdacht onprofessioneel over.

    Maar in het geval van dit mailtje zou ik ook zeker kijken waar de “Ga naar mijn account” link heen verwijst. 100% zeker dat dit geen ing.nl of ing.com is.

  2. Ik weet niet of een digibeet dit alles wel snapt en de tijd zou nemen om hier voor te zitten. Maar wat ik me afvraag, is er geen manier om ip120-80-210-87.adsl2.static.versatel.nl te achterhalen? Moet dit via de ISP lopen of is er een andere manier?

    • Maurits on februari 7, 2014 at 3:30 pm said:

      Hoi Tommie,

      Een digibeet weet nu in ieder geval iets meer van de achtergrond van een mailtje en wat je eruit af kan leiden. Feit blijft dat je met mailtjes die er zo uit zien, gewoon moet oppassen. Het IP-adres van Versatel is te achterhalen, in zoverre dat je het kunt beperken tot Amsterdam. Echter, wie gebruik maakt van het IP-adres is niet zo interessant. Het zal ook daar waarschijnlijk om een gehackt account gaan, om de identiteit van de werkelijke dader niet prijs te geven.

  3. maaike on februari 7, 2014 at 9:43 pm said:

    Hey maurits

    erg leuk en interessant om te lezen!! Ga ik onthouden voor als ik twijfel. Door een mail te openen in mn inbox kan het toch nog geen kwaad, pas als je een bijlage opent toch…. of niet???

    • Hoi Maaike,

      Het openen van een mail in de inbox kan meestal geen kwaad. Juist het openen van een url uit die mail, of een bijlage, kan vervelende gevolgen hebben.
      1) De url zou naar een vervelende site kunnen leiden waar code uitgevoerd wordt die bijvoorbeeld net niet door de browser tegengehouden kan worden, omdat de browser niet helemaal up-to-date is of doordat er gebruik wordt gemaakt van een beveiligingslek waar nog geen update voor is.
      2) De bijlage zou een virus/malware kunnen bevatten.

      Het is een goede gewoonte om email enkel te beschouwen als ‘informatie ter kennisgeving’ en niet als ‘op te volgen instructies’. Ga dus passief met email om. Als je mogelijk iets met de bank moet regelen, ga je _zelf_ naar de site van de bank en let je er op dat je inderdaad op bv http://www.ing.nl terecht bent gekomen. Zelfde geld voor gebeld worden door ‘de bank’ of welke instantie dan ook. Beter kijk je de kat uit de boom en bel je zelf terug, dan heb je meer zekerheid over de juistheid.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

De volgende HTML-tags en -attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Post Navigation