Na Tele2 hebben we opnieuw een grote speler gevonden wiens mailservers misbruikt worden voor phishing activiteiten. Ditmaal is het internetprovider Oneline.nl waar vanuit zogenaamde ICS verificatiemails worden verzonden.
Ook hier blijkt weer dat het gemakkelijk is de mailservers van de internetprovider te misbruiken. Dit komt doordat de provider wel een zogenaamd SPF record heeft, maar het behoorlijk vrij laat wie namens @online mail mag uitsturen. Op dit moment staat het SPF record als volgt ingesteld:
v=spf1 include:node.capitar.com mx a ip4:213.244.171.0/25 ip4:85.119.140.200 ip4:83.118.226.130 ip4:83.118.226.132 ip4:83.118.224.82 ip4:83.118.224.83 ip4:83.118.226.162 a:exomail.m7group.eu ~all
Wat je hier ziet zijn een aantal vaste IP adressen die @online.nl mogen gebruiken als e-mail adres. Opvallend, maar niet relevant, is dat de provider kennelijk nog niet van IPv6 gebruik maakt. Ook Capitar, een Nederlands IT bedrijf, en m7Group, een Duits marketingbedrijf mogen namens online.nl mail uitsturen. Het probleem zit hem echter in de afsluiting van die regel. Die eindigt op ~all. Met andere woorden, mailservers die niet perse goedgekeurd zijn door deze SPF regel, mogen ook valide mail namens @online.nl uitsturen. Zou deze regel afgesloten zijn met -All, dan had ieder spamfilter geweten dat mail vanuit iedere andere mailserver namens @online.nl niet mag uitsturen.
In dit geval zien we ook dat dit is waar het fout gaat. De mails worden verzonden door een mailserver met het IP adres 85.215.213. In de mailheaders zien we ook dat in ons geval de mail is doorgelaten op basis van die ~All regel aan het einde van het SPF record.
received-spf: softfail (online.nl: Sender is not authorized by default to use ‘noreply.icsmailing@online.nl’ in ‘mfrom’ identity, however domain is not currently prepared for false failures (mechanism ‘~all’ matched)) receiver=mxfilter0-1; identity=mailfrom; envelope-from=”noreply.icsmailing@online.nl”; helo=online.nl; client-ip=85.215.213.7
We hopen dat meer organisaties beter hun best gaan doen om hun mailservers af te schermen om deze vormen van misbruik te voorkomen.
Dit is de tekst van de ICS mails die we hebben ontvangen:
Opnieuw Identificeren Vereist
Geachte Heer/Mevrouw ,
We hebben een aantal keer contact geyocht voor het identificatie procedure Mijn ICS en producten. Tot op heden is uw account niet gecontroleerd en/of gevalideerd, wij verzoeken u dringend dit alsnog te doen.
Wij zijn verplicht jaarlijks al onze cliënten te controleren en te screenen zoals dit vermeld staat in onze algemene voorwaarden.
Als de grootste credit card verstrekker in Nederland willen wij er natuurlijk alles aan doen om u als klant te behouden, daarom verzoeken wij u nogmaals om de jaarlijkse veiligheids-formulier in te vullen. Kom vandaag nog in actie!
1. U gaat naar mub.me/mijnicsalerts (u kunt het uiteraard ook kopiëren en plakken) in uw browser en klikt op ”enter”.
2. U vult de gegevens in die wij van u hebben in ons systeem.
3. U bent nu gevalideerd en kunt weer van al uw privileges genieten.
Let op: houd uw ICS Credit Card en uw mobiele telefoon bij de hand
Wij zijn 24 uur per dag bereikbaar op nummer 020 – 6 600 648. U kunt ook contact met ons opnemen via de Servicedesk. Het telefoonnummer hiervan vindt u op de achterzijde van uw Card. Vermeld tijdens het gesprek uw ICS-klantnummer:
Met vriendelijke groet,
International Card Services BV
Uw Credit Card wordt uitgegeven door International Card Services BV (ICS).
Pas op voor internetcriminelen
Er zijn internetcriminelen die proberen persoonlijke informatie van onze klanten te krijgen. Zij sturen e-mails waarmee zij klanten naar valse websites proberen te lokken. Geef nooit uw persoonlijke of financiële gegevens, wachtwoorden of codes op een website waar u via een e-mail terecht komt. Wij zullen u ook nooit bellen en om persoonlijke gegevens of inlogcodes vragen. Houd uw gegevens voor uzelf! Voor meer informatie over het melden van een verdachte e-mail:
www.icscards.nl/internetcriminaliteit
Dit bericht is verzonden door International Card Services BV, gevestigd aan de Wisselwerking 58 te (1112 XS) Diemen, ingeschreven in het Handelsregister Amsterdam onder nummer 33.200.596.