Marktplaats oplichters aan het werk

Vorige week ontving John, de vader van een van mijn beste vrienden, plotseling een berichtje op zijn mobiele telefoon: “…via jouw adres is net mijn zoon via zijn bankrekening beroofd. Als je hier iets van weet vraag ik je dringend het geld terug te storten. Anders ben ik genoodzaakt aangifte te doen.” Euhm, pardon? John is zelfstandig ondernemer en heeft een simpele website met daarop vermeldt zijn adresgegevens, e-mailadres en KvK nummer, en is zich van geen kwaad bewust.

Aangezien zijn website op mijn server draait, toch maar even kijken of ik daar wat raars zie in de logs. De logs laten geen bijzonderheden zien, en aangezien zijn domein 100% scoort voor zowel de web- als e-mailtest op internet.nl lijkt spoofing niet voor de hand te liggen. In de dagen die volgen worden regelmatig pakketjes aangeboden door PostNL met daarop een vreemde achternaam (“John Pluk”) als geadresseerde. John weigert de pakketjes aan te nemen, maar de onduidelijkheid groeit. Wat is hier aan de hand?

In eerste instantie dachten we dat iemand op korte termijn voor de deur zou staan met de boodschap dat “een pakketje voor hem/haar verkeerd was bezorgd”. Dit is een bekende vorm van oplichting waarbij je later alsnog rekeningen en aanmaning krijgt op jouw adres. Behalve de bezorger van PostNL verscheen er verder niemand. Omdat John regelmatig werd gebeld door onbekende nummers besloot zijn zoon om een van deze gesprekken aan te nemen. Dat was een slimme zet, want de dame in kwestie was bijna opgelicht door een koper op marktplaats, en had via Google het mobiele nummer van John achterhaald omdat ze dacht dat John de oplichter was. Het gesprek leverde genoeg informatie op om uit te zoeken wat hier nu echt aan de hand was.

Marktplaats oplichter

Op Marktplaats is een oplichter actief die zich voordoet als een nep-John (“J vn Pluk”), maar daarbij de adresgegevens van de echte John gebruikt. De oplichter toonde interesse in producten die door anderen te koop aan werden geboden, en probeerde zijn slachtoffers vervolgens over te halen tot het bezoeken van de phishing website: verzending-via-marktplaats.nl. De reden die de oplichter hiervoor gaf: “Om zeker te zijn dat ik hem echt ontvang van jou zou je even via marktplaats alvast een verzendlabel willen kopen? Dan ontvang ik de track and trace direct. En weet ik zeker dat ik hem ontvang.” De oplichter maakt hier dus gebruik van het feit dat Marktplaats zelf de mogelijkheid biedt om PostNL verzendlabels aan te maken, maar probeert dus om verkopers op Marktplaats gebruik te laten maken van een nep website die door de oplichter zelf is opgezet: verzending-via-marktplaats.nl. En het is best interessant om te zien hoe dit in zijn werk gaat.

De link die door de oplichter naar de verkoper op Marktplaats wordt gestuurd ziet er zo uit: https://verzending-via-marktplaats.nl/postnl/pakket-versturen.html. Wanneer deze link door de verkoper wordt geopend in de browser komt de volgende webpagina tevoorschijn (uit privacy overwegingen heb ik de adresgegevens onleesbaar gemaakt):

De verkoper vult dit formulier in, kiest een bank naar keuze (in dit geval de Rabobank) en klikt vervolgens op de knop “naar jouw bank”:

Daarna verschijnt het volgende nagebouwde nep inlogvenster van de Rabobank (binnen hetzelfde domein versturen-via-marktplaats.nl):

Interessant is dat er onder de motorkap van de website (dus onzichtbaar voor de verkoper) nog iets anders gebeurt. Vanaf het moment dat de verkoper het nep inlogvenster van de Rabobank voor zich ziet, wordt er een extra signaal naar de server van de oplichters gestuurd. Door dit signaal weten de oplichters dat de verkoper het nep verzendformulier heeft ingevuld, en nu dus het nep inlogvenster van de Rabobank voor zich heeft.

Dit signaal wordt daarna standaard iedere 5 seconden verstuurd waarbij de variabele met de naam “_” telkens met 1 wordt opgehoogd, van 1591645669411 naar 1591645669412, naar 1591645669413, enzovoorts. Wanneer de verkoper vervolgens het rekeningnummer en pasnummer invoert (in dit geval heb ik willekeurige cijfers ingevoerd), wordt dit automatisch gedetecteerd door de website en verschijnt het onderstaande venster. De verkoper denkt nu dat de transactie is gestart, maar in werkelijkheid wordt er helemaal niks naar de bank gestuurd. Alles gaat naar de server van de oplichter.

Dit is ook zichtbaar in een nieuw signaal dat naar de server van de oplichter wordt verstuurd. In dit nieuwe signaal wordt het door de verkoper ingevoerde rekeningnummer en het pasnummer naar de server van de oplichter verzonden (terwijl de verkoper denkt dat dit naar de Rabobank gaat).

Dit is een belangrijk stap in het technische oplichtingsproces, want met behulp van deze ingevoerde gegevens probeert de oplichter geld te stelen van het rekeningnummer van de verkoper. De software op de server van de oplichter zal namelijk proberen om op dat specifieke moment (volledig buiten het zicht van de verkoper) een echte transactie (de zogenaamde schaduwtransactie) op te zetten met behulp van de ingevoerde gegevens door de verkoper. Het idee achter deze schaduwtransactie is uiteraard dat er daadwerkelijk geld van de verkoper wordt overgemaakt op een rekening van de oplichter. Aangezien het even tijd kost om deze schaduwtransactie achter de schermen op te zetten, bleef het scherm met “een ogenblik geduld…” best wel een poosje staan. In mijn geval zo rond de 30 seconden. Veel langer in ieder geval dan de gemiddelde reactiesnelheid van de echte Rabobank website.

Wanneer de schaduwtransactie klaar staat, vraagt verzending-via-marktplaats.nl aan de verkoper om de verificatiecode in te voeren:

Wanneer de verkoper niets vermoedend de beveiligingscode intoetst die verschijnt op zijn random reader, zal de oplichter dit gebruiken om de schaduwtransactie te laten slagen. Dit is ook zichtbaar in het nieuwe signaal wat na het invoeren van de beveiligingscode naar de server van de oplichter wordt verstuurd. Hierin is namelijk naast het rekeningnummer en het pasnummer, ook de beveiligingscode zichtbaar.

Daarna is de oplichting een feit. De verkoper is zijn geld kwijt, John wordt gebeld door mensen die denken dat ze door hem zijn opgelicht, en de oplichter… tja, hopelijk loopt die op korte termijn tegen de lamp.

Takedown request

Om te voorkomen dat de oplichters nog meer slachtoffers maken, heb ik een melding van misbruik gemaakt bij de organisatie waar de oplichters het domein verzending-via-marktplaats.nl hebben geregistreerd. Via de website van SIDN kun je verschillende gegevens van een .nl domein opvragen. Dat heb ik ook voor dit domein gedaan en dan zie je dat Name.com uit de Verenigde Staten de registrar is.

Op Name.com heb ik vervolgens een abuse melding ingediend. In de meeste gevallen worden domeinen / websites snel offline gehaald wanneer naar aanleiding van een abuse melding blijkt dat zaken niet pluis zijn. Hoewel de website inmiddels offline is (“no route to host”) en ook de meeste browsers het domein blokkeren (Google Safe Browsing), heb ik nog geen reactie ontvangen binnen de door Name.com zelf gestelde termijn van 24 uur. De status van het domein is dan ook nog steeds “actief”. Ik heb daarom contact gezocht met SIDN omdat zij ook notice-and-take-down verzoeken afhandelen voor het .NL domein. Helaas kon SIDN me niet helpen omdat zij alleen een domein offline kunnen halen op het moment dat ze zelf de malafide content kunnen vaststellen. Op dit moment kunnen er dus twee dingen aan de hand zijn: A) de website is offline doordat Name.com heeft ingegrepen zonder hier een terugkoppeling over te geven, of B) de cybercriminelen zijn een nieuwe server aan het inrichten om vervolgens met hetzelfde domein mensen op te lichten.

Tot slot

Een aantal uren nadat ik verschillende dingen heb zitten testen, was de website niet meer bereikbaar (no route to host). Mogelijk heeft de oplichter mijn afwijkende gedrag op de website opgemerkt, want mijn abuse melding was toen nog niet verwerkt aangezien de status van het domein nog steeds “actief” was. Op een bepaalde manier vond ik dat jammer, want een aantal dingen had ik graag (beter) willen testen.

  • Op basis van het geanalyseerde verkeer is mijn sterke vermoeden dat de oplichter gebruik maakt van het phishing panel uAdmin (Universal Admin). Ik had graag wat meer tijd gehad om te ontdekken of ik hier meer mee had kunnen doen. Overigens zag ik wel dat de security specialisten van Zolder nog niet zo lang geleden de broncode van uAdmin hebben weten te bemachtigen. In een filmpje van 34 minuten leggen ze uit hoe het framework werkt, en hoe oplichters dit gebruiken. Zeker wanneer je interesse is gewekt; een aanrader!
  • Ik vraag me af of de Rabobank module in uAdmin wel goed werkt aangezien ik geen kleurcode te zien kreeg die gescand moest worden met een Rabo Scanner, of een cijfercode die moest worden ingevuld op de oudere Random Reader. Voor zover ik weet is dit namelijk wel een noodzakelijke stap voor het genereren van een geldige verificatiecode die nodig is om de schaduwtransactie te laten slagen. Misschien komt dit doordat ik willekeurige cijfers heb ingevuld als rekening- en pasnummer? Misschien werkt het beter met een andere bank? Feit is in ieder geval dat de oplichter minimaal 1x succes heeft gehad, maar de details van deze oplichting zijn mij onbekend.

Het viel overigens op dat de oplichter gebruik maakte van een Marktplaats account dat al 9 jaar actief was. Dit schept waarschijnlijk vertrouwen bij andere Marktplaats gebruikers, maar realiseer je dat oplichters vaak accounts hacken of stelen zodat ze de goede reputatie van zulke accounts kunnen misbruiken.

Ben je zelf opgelicht of ken je iemand die dit is overkomen, zorg dan altijd dat er aangifte wordt gedaan bij de politie. Dit levert in eerste instantie misschien niet direct iets op, maar details uit verschillende aangiftes kunnen de politie wel op een goed spoor zetten om oplichters te ontmaskeren en hun criminele activiteiten een halt toe te roepen.

9 antwoorden
  1. Avatar
    melanie zegt:

    Ik had ook een pakketje naar John gestuurd. Gelukkig had ik -zonder zijn label- een pakket gestuurd. Het pakket word retour naar mijn huis gestuurd. Ben zo blij om te horen dat ik niet op de -door hem gestuurde- link heb gedrukt.

    Beantwoorden
    • Avatar
      Léon zegt:

      Melanie,

      In dit verhaal maakt de oplichter gebruik van iemand anders zijn adres en niet zijn eigen adres. Diegene waar dat adres van is, is niet de oplichter zelf.
      Vervelende hieraan is dat gedupeerden denken dat de ontvanger van de pakketten ook de oplichter is, maar in feite is deze ook een slachtoffer. Zijn adres word ongevraagd gebruikt.
      Het feit dat jij je pakket retour hebt ontvangen is onder diegene waarschijnlijk jou pakket niet aangenomen heeft.

      Beantwoorden
      • Avatar
        Melanie zegt:

        Ja klopt, dat had ik al in de gaten. Zo vervelend voor de echte bewoners dat zijn naam en adres gebruikt worden. Ik zag via mijn orginele post.nl code dat mijn pakket retour kwam. Dat was ook de reden waarom Google mij naar je site heeft gestuurd. Fijne uitleg heb jij gemaakt. Het was voor mij een wijze les van 6.75 ipv een lege bankrekening….

        Beantwoorden
  2. Avatar
    Monique zegt:

    Goedemorgen,

    Ik ben héél blij om terug te lezen dat het nu opgelost is.
    En natuurlijk een beetje trots dat mijn speurwerk mede hiertoe geleid heeft 😊
    Super Léon dat je dit voor je vader hebt gedaan!

    Beantwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.