I've written a blog post about my recent experience of a phishing attempt through booking.com in relation to two Slovakian hotel bookings.
Have a look here at what happened and what I did, and didn't do
#Phishing heute: Kundschaft der #Telekom erhält gefälschte Festnetz-Rechnung: https://www.verbraucherzentrale.nrw/phishing
Phishing: let op de domeinnaam!
1/3: info over veiliger internetten
Een domeinnaam is het "adres" van een website, ook wel "webadres" genoemd. Voorbeeld, in
https:⧸⧸nos.nl/l/2563624
is "nos.nl" de domeinnaam (in die link heb ik "⧸⧸" i.p.v. "//" gebruikt om te voorkómen dat Mastodon het protocol verstopt, zoals in https://nos.nl/l/2563624).
Iedereen (ook criminelen) kunnen nagenoeg elke niet-bezette domeinnaam huren. Aan bijvoorbeeld
nefkens-opel.nl
kunt u NIET zien dat deze NIET (meer?) van Nefkens is. Bovendien kan alles in webpagina's nep zijn.
Bij een https:// verbinding (te zien aan een hangslotje of, in Chrome, twee horizontale koffielepeltjes "in standje 69") weet u twee dingen:
1) Uw browser heeft *daadwerkelijk* verbinding met de website waarvan de domeinnaam in de adresbalk staat (*);
2) Die verbinding is versleuteld.
Dat zegt *NIETS* over wie de eigenaar is van de website, laat staan of deze betrouwbaar is (het kan net zo goed om een crimineel gaan). Aanvankelijk stond die informatie wél in certificaten, maar dat is "gedoe" voor certificaatuitgevers en eigenaren van websites. Zij hebben het tot úw probleem gemaakt om uit te zoeken wie de eigenaar is. Zie ook https://security.nl/posting/884230).
(*) Zie 3/3.
U kunt een domeinnaam het beste van rechts naar links lezen.
Uitgebreide uitleg over domeinnamen leest u in https://tweakers.net/nieuws/216878/ministerraad-stemt-in-met-gebruik-gov-punt-nl-als-domein-voor-overheidswebsites.html?showReaction=19450852#r_19450852 (als u niet de reactie van "Anoniem: 1576590" te zien krijgt, helpt opnieuw openen van de link meestal).
Firefox-gebruikers opgelet: bij een te lange domeinnaam laat Firefox (stom genoeg) het meest linkse i.p.v. het meest rechtse deel van de domeinnaam zien.
Meer daarover in 2/3.
PHISHING GISTEREN GEZIEN
Bij het analyseren van https://www.virustotal.com/gui/ip-address/104.21.48.1/relations kwam ik een "verse" phishingsite tegen, zie het linker plaatje hieronder.
Tip: domeinnamen die eindigen op
.pages.dev en .workers.dev
zijn meestal kwaadaardig.
#CloudflareIsEvil - zie 3/3.
Op de links getoonde website heb ik een (fantasie-) hotmail.com e-mailadres ingevuld. Daarop werd mijn browser doorgestuurd naar een volgende phishingsite met een extreem lange domeinnaam, waar Chrome (op Android) het rechterdeel van laat zien; zie het rechter plaatje.
(Lees verder in de volgende toot, als reactie op deze).
Edit 11:24: link naar security.nl was defect.
Last week I posted a thread about a #spam campaign delivering a #ConnectWise client as its payload. As of this morning, the threat actors have changed the payload (https://www.virustotal.com/gui/file/30e1d059262b851a2b432ec856aeba5bb639ba764aa85643703163d62000a2f4) and it appears to try to connect to the address "relay.noscreener[.]info" which resolves to 104.194.145.66.
Embedded in the installer .msi file is a file called system.config, which contains this domain name and a base64-encoded string.
The fake Social Security website is still being hosted on a compromised site that belongs to a temp agency based on the east coast of the US.
Previous thread:
ResolverRAT Campaign Targets Healthcare, Pharma via Phishing and DLL Side-Loading
https://thehackernews.com/2025/04/resolverrat-campaign-targets-healthcare.html
We talk a lot about the attacks and the attackers (red team), but today we'll be speaking with a defender about cyber defenses (blue team). Oz Jones explains what it's like trying to defend businesses against #phishing and #ransomware.
https://podcast.firewallsdontstopdragons.com/2025/04/14/life-on-the-blue-team/
A Deep Dive into Strela Stealer and how it Targets European Countries
Strela Stealer, an infostealer targeting email clients in specific European countries, has been active since late 2022. It focuses on exfiltrating credentials from Mozilla Thunderbird and Microsoft Outlook. The malware is delivered through phishing campaigns, primarily targeting Spain, Italy, Germany, and Ukraine. Recent attacks involve forwarding legitimate emails with malicious attachments. Strela Stealer employs multi-layer obfuscation and code-flow flattening to complicate analysis. The malware verifies the system's locale before executing, targeting specific German-speaking countries. It searches for email client profile data, encrypts it, and exfiltrates it to a command-and-control server. The infrastructure is linked to Russian bulletproof hosting providers, suggesting potential ties to Russian threat actors.
Pulse ID: 67fb93e88bf6ed070ce7164a
Pulse Link: https://otx.alienvault.com/pulse/67fb93e88bf6ed070ce7164a
Pulse Author: AlienVault
Created: 2025-04-13 10:37:28
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
#Tycoon2FA #phishing kit rolled out significant updates
https://securityaffairs.com/176521/cyber-crime/tycoon2fa-phishing-kit-rolled-out-significant-updates.html
#securityaffairs #hacking
I'm as sure as I can be that I've had a phishing attempt from two hotels that I've booked for my Slovakia trip in September.
Both hotels are in the same group. Identical emails but also identical messages within the booking.com messaging system.
They want me to reconfirm my credit card details - hmmmm!
I've emailed the hotels directly and also messaged booking.com
Maybe this is yet another argument for booking direct with the hotels rather than using a booking agent.
Also jetzt hab ich doch echt kurz überlegt, ob das wirklich sein kann, dass ich 1,95 Euro zahlen soll, damit mir weiterhin E-Mails zugestellt werden... und wollte mich schon aufregen, dass man als zahlender Kunde nun auch noch extra zahlen muss und so. 
Aber gut gemacht ist diese Spam-Mail ja...
Russia’s Storm-2372 Hits Orgs with MFA Bypass via Device Code Phishing – Source:hackread.com https://ciso2ciso.com/russias-storm-2372-hits-orgs-with-mfa-bypass-via-device-code-phishing-sourcehackread-com/ #1CyberSecurityNewsPost #CyberSecurityNews #cybersecurity #CyberAttacks #PhishingScam #CyberAttack #Storm2372 #Hackread #Phishing #security #SOCRadar #Russia #Scam #MFA
https://www.europesays.com/1987931/ The Critical Need for Cybersecurity #AntiPhishingTraining #cryptolocker #europe #Florida #hackers #Hacking #KevinMitnick #knowbe4 #OnLineTraining #PhishProne #phishing #ransomware #SecurityAwarenessTraining #SocialEngineering #SpearPhishing #StuSjouwerman #TampaBay #training
Dzwoni do Ciebie numer zza granicy? ,,Dodaj mnie na WhatsApp’’ – nowa kampania phishingowa
W ostatnich dniach obserwujemy nową kampanię cyber zbójów. Schemat, który zaraz Wam opiszemy nie odbiega za bardzo od innych tego typu, ale tym razem skala działania jest naprawdę imponująca i pojawia się kilka ciekawych elementów. Dużo osób (w tym ekipa sekurak.pl) dostaje połączenia z zagranicznych numerów (kierunkowe, np. +44, +36),...
Wenn man wieder Phishing-Domains shopt und man dann doch die 18€ nicht ausgeben will weil man nur die #Hochwertziel-Orgs sammelt. 
#fdp #phishing
Brandt 
Reminds me to not check email.
Smishing Triad: Chinese eCrime Group Targets 121+ Countries, Introduces New Banking Phishing Kit
The Chinese eCrime group Smishing Triad has launched a global SMS phishing campaign targeting over 121 countries across various industries. Their infrastructure generates over one million page visits in 20 days, averaging 50,000 daily. The group has introduced a new 'Lighthouse' phishing kit focusing on banking and financial organizations, particularly in Australia and the Asia-Pacific region. Smishing Triad claims to have '300+ front desk staff worldwide' supporting their operations. They frequently rotate domains, with approximately 25,000 active during any 8-day period. The majority of phishing sites are hosted by Chinese companies Tencent and Alibaba. The campaign primarily targets postal, logistics, telecommunications, transportation, finance, retail, and public sectors.
Pulse ID: 67f80a4937d04f9036252cf7
Pulse Link: https://otx.alienvault.com/pulse/67f80a4937d04f9036252cf7
Pulse Author: AlienVault
Created: 2025-04-10 18:13:29
Be advised, this data is unverified and should be considered preliminary. Always do further verification.
@ra6bit : When we visit a shop or bank in the center of town, chances are extremely small that it's a fake. Not so on the internet (and in North Korea).
There is a fix, in short:
1) If people visit a website for the first time, their browser should (before fetching content) show them all known relevant info about the website (and warn for typical phishing domain names, such as "example.com-whatever[.]tld"). And if known, *usable* identifying info of the entity who is responsible for the website. I'm not against anonymous websites, but too often their owners are criminals, so such sites are unsuitable for risky transactions.
2) We need more human readable info in certificates. The CA/B forum must be replaced by a consumer (plus governments) controlled organization.
3) User education.
More details below "WHAT IS A DECENT WEBPKI" in https://infosec.exchange/@ErikvanStraten/113079966331873386.
@paulasadoorian : the biggest factor, user knowledge, is missing in the diagram.
BTW it's not stupidity. People are made to believe that security is simple (it's not).
And it's even deliberately made hard by big tech. The site below has a certificate issued by "Google Trust Services" and it's IP-addresses belong to Cloudflare (tap Alt for more info).
![Screenshot of a fake website. It shows multiple stacked warning boxes (one moving a bit). A woman with a German voice and the German texts in the message boxes inform me that my Windows computer is compromised and has been blocked. I'm told to call Microsoft support using a telephone number in Ireland.
Note that this is in Chrome on Android, configured to use English, and I'm Dutch.
The website's domain name is:
jellyfish-app-3-jaimx·ondigitalocean[.]app
More info in https://www.virustotal.com/gui/domain/jellyfish-app-3-jaimx.ondigitalocean.app](https://media.infosec.exchange/infosec.exchange/media_attachments/files/114/314/647/288/635/163/original/a5f9aa5104ec47f8.jpeg "Screenshot of a fake website. It shows multiple stacked warning boxes (one moving a bit). A woman with a German voice and the German texts in the message boxes inform me that my Windows computer is compromised and has been blocked. I'm told to call Microsoft support using a telephone number in Ireland.
Note that this is in Chrome on Android, configured to use English, and I'm Dutch.
The website's domain name is:
jellyfish-app-3-jaimx·ondigitalocean[.]app
More info in https://www.virustotal.com/gui/domain/jellyfish-app-3-jaimx.ondigitalocean.app")
@ximaar : prima!
Af en toe zijn er bugs of stommiteiten, maar over het algemeen worden die redelijk snel verholpen.
Het helpt als je weet dat de punt het *enige* scheidingsteken tussen segmenten van een domeinnaam is.
Het minnetje is, naast cijfers en kleine letters (a t/m z), het enige mogelijke teken *binnen* segmenten van DNS domeinnamen voor websites ("international domain names" zijn een truc in browsers, los van DNS; zie de tweakers pagina die ik verderop noem voor details).
Hieronder heb ik elke '.' (decimale punt) in de getoonde domeinnamen vervangen door door '·' (een hoogliggend puntje) - om onbedoeld openen te voorkómen.
Het is belangrijk dat internetters in elk geval het verschil zien tussen:
accounts-google·com
accounts·google·com
Bij de laatste is "accounts" een subdomein van "google·com". De eerste kan door een heel andere partij dan Google zijn gehuurd (geregistreerd).
Veelgebruikte trucs de laatste tijd zijn onder andere ("google" kan vanalles zijn, zoals jouw bank of verzekering):
www-google·com
https-google·com
google-sso·com
google-helpdesk·com
helpdesk-google·com
dubbele TLD's/onderverhuur:
google·eu·org
google·org·eu
google·my·id
google·univer·se
google·com-VANALLES·TLD
google·ondigitalocean·app
Het meest langdradige (
) verhaal over domeinnamen dat ik ooit schreef vind je in https://tweakers.net/nieuws/216878/ministerraad-stemt-in-met-gebruik-gov-punt-nl-als-domein-voor-overheidswebsites.html#r_19450852 (na een cookiemelding moet je mogelijk die link nogmaals openen, om bij de eerste reactie van het account, dat ooit van mij was, te komen: "Anoniem: 1576590").
Hieronder nog een screenshot van een "grappige" website eerder vanmiddag met een Duitse damesstem die mij, net als de tekst, vertelt dat mijn Windows computer is geblokkeerd (op mijn Android telefoon 
). Hier overigens bekeken met Chrome.
