[ archief ] Opgelet: Phishing email van (zogenaamd) Ziggo

[mahadma]

Wij ontvingen recent (gisteren) een email nota.
Mijn partner vertrouwde het niet en omdat die nota binnenkwam op een "normaal" moment wilde ze deze direct betalen.
Ze zag staan dat de nota ook per pin of contant kon worden betaald en dàt snapte ze niet.
Daarom naar "Mijn Ziggo" gegaan en ingelogd en daar gezien dat er wel een nota zat aan te komen heeft ze daar betaald.
Vandaag gebeld met 1200 ziggo. Bleek dat zij deze NIET verzonden te zijn door ziggo.

De kenmerken zijn:

Betalen kan op verschillende manieren

iDEAL of AcceptEmail

Bankoverschrijving

Pin of contant

en het verzend emailadres wat NIET van Ziggo is:

[email protected]

Houdt het in de gaten!

[kuklos]

Eén opmerking, het is phishing, niet phissing.

Sowieso is toch altijd de tip om niet op de link in een email te klikken, maar naar de website van de aanbieder zelf te gaan?

[Justmeagain]

[https://www.ziggo.nl/klantenservice/int ... -van-ziggo]

Hierin staat dat e.ziggo.nl toch echt een eigen adres is van Ziggo. Wat voor het apenstaartje staat is niet van belang. Wat daarachter komt des te meer.
Dit was dus wel een mail van Ziggo

[Bob Schurkjens]

Maar zelfs dan kan er nog sprake zijn van https://nl.m.wikipedia.org/wiki/Spoofing_(e-mail)

Ben je ooit klant geweest van Ziggo en wil je nooit meer mail etc. van Ziggo ontvangen? Maak dan gebruik van je wettelijke recht van verzet. Al je gegevens die ze nog van je hadden worden dan gewist. Je weet dan zeker dat de mail van Ziggo nep is, mocht je er een ontvangen.

https://www.ziggo.nl/formulieren/recht-van-verzet

[grun]

[https://www.ziggo.nl/klantenservice/int ... -van-ziggo]

Hierin staat dat e.ziggo.nl toch echt een eigen adres is van Ziggo. Wat voor het apenstaartje staat is niet van belang. Wat daarachter komt des te meer. Dit was dus wel een mail van Ziggo

Weet je dat wel zeker? In dat lijstje waar je naar verwijst, staat wel @edm.ziggo.nl maar geen @e.ziggo.nl.

[Erthanax]

Het domein e.ziggo.nl staat wel bij het lijstje domeinnamen dat Ziggo geeft.

Volgens mij is elk subdomein of third-level domain met de vorm xxxxx.ziggo.nl altijd van Ziggo. Boeven gebruiken subdomeinen waarbij dat net omgekeerd is, bv ziggo.xxxxx.nl, rabo.xxxxx.com, enz. De eigenaar-oplichter van xxxxx.com kan dergelijke domeinnamen namelijk zelf maken.
Er loopt hier vast wel een IT'er rond die dat kan bevestigen.

[mahadma]

Je kon volgens de email ook per PIN en CONTANT betalen (hoe dat zou moeten snap ik dan niet, via de email), dàt is toch minimaal vreemd. Volgens ziggo (1200 over de eigen tel lijn) was dit emailadres niet van ziggo. Ook wist de klantenservice te vertellen dat er na 30-3 niets meer verstuurt was .......... door ziggo. Maar ik blijf dit volgen.

[kuklos]

Het verzend emailadres kunnen ze spoofen, dus doen alsof het van Ziggo komt. Als je klikt op reply, welk emailadres zie je dan?

[Jablan]

Zulke mails stuur ik als bijlage door naar de fraudehelpdesk of als het bedrijf een valse-email-adres heeft, daarheen. Bijlage is belangrijk, want alleen dan komen alle originele gegevens goed over.

[mahadma]

Ik heb na bellen met ziggo het naar de fraude adres doorgestuurd.

[Revoked]

De header en footer zijn , deels, aan te passen. Dan kan elk willekeurig adres worden ingegeven om weer te laten geven. WAN-IP heb je niet heel veel aan, maar via een mailtrace is het MAC-adres te achterhalen, en daar zou dan uit moeten blijken dat de zogenaamde verzender een dergelijke computer niet in de inventaris heeft.
De phising-berichten negeren en verwijderen is overigens veel eenvoudiger.

[mahadma]

Ik vond het wel knap gedaan ........ maar toch blij dat we altijd effe verder kijken

[grun]

Zulke mails stuur ik als bijlage door naar de fraudehelpdesk of als het bedrijf een valse-email-adres heeft, daarheen. Bijlage is belangrijk, want alleen dan komen alle originele gegevens goed over.

Is dat als bijlage versturen hetzelfde als forwarden of doorsturen? Zo nee, hoe kan ik dan een enkel bericht opslaan inclusief alle originele gegevens? De mailclient is Outlook.

[Jablan]

Forwarden/Doorsturen is de mail als mail doorsturen. Een bijlage hang je aan een mail als los bestand (net zoals foto's en documenten). Met Outlook kan ik je helaas niet helpen, wellicht iemand anders.

[sake1987]

Bij mij gaat alles via automatische incasso dus rekeningen kloppen zo wie zo niet. Ik zit bij Ziggo maar krijg al jaren deze mails ook van KPN en andere bedrijven waar ik niks mee te maken heb. Gaan allemaal rechtstreeks naar de fraude afdelingen van de bedrijven

[Moneyman]

Bij mij gaat alles via automatische incasso dus rekeningen kloppen zo wie zo niet.

Ehm... ik sta dagelijks bij mensen aan de deur die de zaakjes met AI geregeld hadden...

[Theotrucker]

Na het regelen via automatische incasso komt natuurlijk ook het maandelijkse controleren!

[grun]

Met Outlook kan ik je helaas niet helpen, wellicht iemand anders.

Bedankt in elk geval. Na wat googelen ben ik eruit.

[sylvesterb]

Het domein e.ziggo.nl staat wel bij het lijstje domeinnamen dat Ziggo geeft.

Volgens mij is elk subdomein of third-level domain met de vorm xxxxx.ziggo.nl altijd van Ziggo. Boeven gebruiken subdomeinen waarbij dat net omgekeerd is, bv ziggo.xxxxx.nl, rabo.xxxxx.com, enz. De eigenaar-oplichter van xxxxx.com kan dergelijke domeinnamen namelijk zelf maken.
Er loopt hier vast wel een IT'er rond die dat kan bevestigen.

Klopt, het domein is ziggo.nl en je kunt subdomeinen aanmaken en x.ziggo.nl is een subdomein. En aan een subdomein kun je weer DNS records hangen voor o.a. e-mail.

Het genoemde e-mail adres is van Ziggo en als je dit hebt ontvangen op een Ziggo account is dit 100% zeker van Ziggo afkomstig. Ziggo maakt namelijk gelijk van SPF record (beetje zinloos) maar ook van DKIM/DMARC waarmee ze controleren of de e-mail in de header ook echt eigendom is van de verzender.

Omdat de meeste providers dit nu gebruiken zie je ook vrijwel altijd dat het e-mail adres iets afwijkt van het echte domein. Terwijl je vroeger gewoon een mail kreeg met [email protected] (of [email protected]).