Sinds gisterenavond doet er weer een gevaarlijke mail de ronde. Wanneer je een mail ontvangt van itsme@proximus.be met onderwerp “Update vereist” verwijder die onmiddelijk en open deze niet. Het gaat om een zeer goed gemaakte phishing mail met bijhorende phishing website waarbij de aanvallers gebruik hebben kunnen maken van het officiele proximus domein om valse mails rond te sturen. Spoofen dus.
Wij onderzochten de verdachte mail. De niets vermoedende gebruiker werd gegroet met onderstaand bericht in zijn of haar mailbox:
Op het eerste zicht lijkt het een normale mail en al zeker wanneer men ziet dat de mail afkomstig is van het officieel @proximus.be domein. Wanneer men verder klikt op een realistisch lijkende URL krijgt men een zeer goed nagemaakt website te zien:
Echter bij inspectie blijken de knoppen door te verwijzen naar domeinen die niet behoren tot Proximus of Itsme maar naar een domein genaamt: “fitheidkanjeduwen.shop” …
Wanneer men toch verder klikt krijgt men een bank selectie scherm te zien.
Ook hier is te zien dat de logos niet doorverwijzen naar officele bank kanalen:
Kies je nadien je bank dan krijg je ook een zeer overtuigend bank login scherm te zien specifiek nagemaakt voor iedere bank.
Niets is minder waar want wanneer we de knoppen opnieuw gaan onderzoeken zien we dat er scripts uitgevoerd worden wanneer de nietsvermoedende gebruiker op bevestigen duwt.
Met andere woorden verkrijgt de aanvaller je bankgegevens en kan op die manier proberen om je bankzaken, gegevens en mogelijks rekeningen te bemachtigen.
Daarom de beste raad die je kan volgen is altijd ofwel manueel de website invullen of via google en daar op de officiele website van bv itsme in je accoutn te loggen.
Indien er een update nodig moest zijn dan zal dat zeker te zien zijn in je persoonlijk account na het aanmelden.
Blijf veilig en oplettend bij verdachte mails en websites. Bij twijfel contacteer ons gerust en we helpen je graag verder!
//ALLCORE IT