Auteur Topic: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net  (gelezen 2504 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Ik krijg sinds een paar dagen vele mailtjes per dag met de melding:

Citaat
De verbinding van DS415-port-A met fp2e7a.wpc.2be4.phicdn[.]net is geblokkeerd om veiligheidsredenen(Phishing).
En ik verwacht dat dit bij velen zal gebeuren die Safe Acces gebruiken.

Ik heb nu zitten te zoeken wat dit was. Deze meldingen worden veroorzaakt door de controle of een certificaat van Digicert op de CRL (Certificaat Revokion List) staat. Digicert gebruikt daar het domein "crl4.digicert.com" voor. En dit is een alias van het domein dat de waarschuwing geeft.

$ host crl4.digicert.com
crl4.digicert.com is an alias for crl.edge.digicert.com.
crl.edge.digicert.com is an alias for fp2e7a.wpc.2be4.phicdn.net.  <-----------
fp2e7a.wpc.2be4.phicdn.net is an alias for fp2e7a.wpc.phicdn.net.
fp2e7a.wpc.phicdn.net has address 192.229.221.95

Dit domein kun je dus beter whitelisten in de router. Het kan best zijn dat een phishing site een certificaat van Digicert in gebruik heeft, waardoor dit IP op de blocklist kwam. Maar nu werkt het averechts. Als Digicert dit certificaat ingetrokken heeft, blokkeert de router de controle hierop en krijg je juist geen waarschuwing bij bezoek op die site. En gelijktijdig frustreert deze blokkade de controle van andere certificaten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #1 Gepost op: 01 april 2023, 15:48:03 »
De blokkeringsmailtjes kwamen ook 's nachts. Ik was benieuwd waar dat bij mij vandaan kwam.  Ik denk nu van de stentor app op mijn telefoon omdat die volgens mij ook 's nachts kijkt of er nieuws is.

De Stentor (of eigenlijk alle kranten uit de DPG Media groep) gebruikt in elk geval deze certificaten:



Het linken aan een specifiek device gaat in mijn netwerk lastig omdat ik een eigen DNS server gebruik. De router ziet daardoor alleen dns verzoeken vanaf de nas komen en geeft hem steeds als bron aan. Ik moet dan echt in het dns pakket de logging aan zetten, wat ik niet standaard doe omdat het wel heel veel data genereert.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #2 Gepost op: 01 april 2023, 16:12:48 »
Dank voor de toelichting.  Ik zal het hier in de gaten houden.
(Maar maak geen gebruik van een Stentor app).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #3 Gepost op: 04 april 2023, 20:56:50 »
Helemaal snappen doe ik dit verhaal niet, ben niet zo thuis in routers vrees ik.
Maar ik krijg wel 20 meldingen per dag.

Zelfs als ik  helemaal niet op internet zit !
( dan schijnt het de TV te zijn en/of de nas.)

Die stendor app gebruik ik ook niet.

Zal komend weekend wel even een lijst van die IP nummers maken.
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #4 Gepost op: 04 april 2023, 22:25:36 »
Het heeft ook niet perse met de stentor app te maken, maar met het bezoeken van een site die een Digicert certificaat gebruikt. Het AD, de Volkskrant, nu.nl en heel veel andere sites gebruiken een certificaat van die firma.

Een certificaat heeft tegenwoordig een geldigheid van 13 maand. Als voor het aflopen blijkt dat er iets onbetrouwbaar is aan zo'n site. (b.v. als blijkt dat een malafide site een certificaat heeft gekregen), dan kan de verstrekker het certificaat al eerder intrekken. Zo'n certificaat komt dan op een CRL of OCSP lijst te staan.

Dus een browser moet steeds voor hij een certificaat gaat vertrouwen, eerst op die lijst kijken of het certificaat niet ingetrokken is. En juist die URL waarmee de controle plaats heeft, wordt door de router geblokkeerd.

Twee jaar geleden zat er exact diezelfde fout in de lijst, maar dan van een andere certificaat verstrekker. Ik het toen een ticket bij Synology aangemaakt. Maar zij nemen zo'n probleem helemaal niet serieus en verschuilen zich erachter dat zij die lijst niet samenstellen. Maar als zij niet vertellen waar ik dan moet klagen, dan zijn zij degenen die zo'n bug zo snel mogelijk moeten doorgeven aan de samenstellers van de lijst.

Nu leidt deze blokkade ertoe dat een, vanwege phishing ingetrokken certificaat, niet gecontroleerd wordt en door de browser geaccepteerd blijft worden. Echt dubbel fout van de router omdat de blokkade de boel juist onveiliger maakt.

-----

Op de mac kon je in het verleden bij certificaat beheer instellen dat de CRL altijd gecontroleerd moet worden. Faalt die controle dan kun je zo'n site helemaal niet bezoeken. Default was echter om alleen proberen te controleren. Als de controle dan faalt, wordt het certificaat gewoon geaccepteerd.
Deze instellingen zijn echter uit het sluitelhanger beheer programma gehaald. In elk geval kan ik ze niet meer terug vinden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #5 Gepost op: 04 april 2023, 22:37:54 »
....maar met het bezoeken van een site die een Digicert certificaat gebruikt.
Het AD, de Volkskrant, nu.nl en heel veel andere sites gebruiken een certificaat van die firma.

Heb geen problemen bij het bezoeken van die kranten / nieuwsdiensten.

Er worden bij mij echter wel achterliggende links van "advertenties" geblokkeerd betrekking hebbende met Digicert certificaat.
(En daarnaast nog een stuk wat domeinen).  Maar dat is bewust blokkeren op basis van mijn eigen instellingen.

59129-0

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #6 Gepost op: 05 april 2023, 07:48:59 »
Ik vat het een beetje... geloof ik, dat heeft dus te maken met dat certificaat wat ze gebruiken voor HTTPS? of zie ik dat verkeerd.?

Vreemde hier is, ik stapte vanmorgen de mand uit, telefoon gaf 34 meldingen van de router terwijl ik lag te snurken... ::)
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #7 Gepost op: 05 april 2023, 09:59:35 »
Heb geen problemen bij het bezoeken van die kranten / nieuwsdiensten.

Zoals gezegd zal het ook sterk van de gebruikte browser afhangen.  De Digicert certificaten bieden twee protocollen aan voor de controle. De OCSP en de CRL.

Voor beide protocollen staan er twee url's in hun certificaten. Browsers kunnen zelf kiezen welk protocol ze gebruiken. Blijkbaar is het OCSP protocol nieuwer en heeft minder overhead. Ik kan alleen vinder dat Firefox het OCSP protocol gebruikt voor de controle. Maar ik lees wel dat er tegenwoordig een tendens is om bij voorkeur OSCP te gebruiken als er een keuze is.

Het probleem alhier treed echter op bij controle via het CRL protocol. Ik gok dat dit aan de gebruikte Android versie 7.x van mijn telefoon ligt waar mijn kranten app op draait.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #8 Gepost op: 05 april 2023, 10:09:15 »
Dat Firefox verklaart dan al veel.  Gebruik hoofdzakelijk die browser, en dan nog op een laptop.
(Kijk al helemaal geen krantenberichten op een smartphone. Te priegelig kleine tekst voor "mijn ogen"  ;) ).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #9 Gepost op: 05 april 2023, 10:12:15 »
Wat ik dan niet snap...
Ik zet de mobile foons in de avond altijd uit, dan slaap ik  ;)

Dus dan hangt alleen die nas en die tv aan internet..
( toch 34 meldingen)
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #10 Gepost op: 05 april 2023, 10:19:34 »
Je kunt in de log bestanden van Safe Access vinden bij welk apparaat de meldingen horen.
Zou evengoed je TV kunnen zijn (m.b.t. smart opties).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #11 Gepost op: 05 april 2023, 10:59:36 »
Keek even bij save acces.
Blokkerende activiteit.
hele waslijst, maar die kan ik kennelijk niet kopiëren?

Betreft mijn pc, de tv en de nas.
Voor zover ik het zo op het oog kan zien steeds andere Ip nummers.
De mobietjes van mijn vrouw en mij kom ik niet tegen, de nas neemt ongeveer 80% voor zijn rekening.
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #12 Gepost op: 05 april 2023, 11:29:38 »
Als je NAS ongeveer 80% voor zijn rekening neemt van alle meldingen in de logbestanden van Safe Access,
zou ik toch eens heel goed alles in je NAS nalopen wat je daar allemaal mee doet, de processen die er lopen, en het "waarom".
(De firewall fatsoenlijk inregelen, en aanvullende instellingen m.b.t. beveiliging van de NAS).

Vanuit mijn NAS'sen heb ik daar werkelijk nog nooit één melding binnen Save Access van waargenomen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #13 Gepost op: 05 april 2023, 11:55:30 »
Nou dat valt volgens mij wel mee.. wat ik daar gebruik.
Ik heb alle beveiligingen getroffen die daar ergens op deze site staan.
2fa, net en browser blocking, alles. ( behalve die firewall vrees ik, dat geoblocking.)
Ik gebruik maar 2 poorten 443 en een gekozen poort.

Maar nu ik er over nadenk, ik denk dat ik het wel weet.
Ik was een tijd terug bezig met docker, een tutorial over het opzetten van een calibre browser voor al mijn boeken.

Ik vermoed, weet het niet zeker, dat dit hem is.
Die gooi ik er straks gelijk af.
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: False positive Phishing meldingen met fp2e7a.wpc.2be4.phicdn[.]net
« Reactie #14 Gepost op: 05 april 2023, 12:02:30 »
Het gaat niet zozeer in wat er "binnen" zou willen komen met "login" gerelateerd zaken.
Maar wat er aan data - of op te zetten mogelijke connecties (?) van binnenuit naar buiten uitgaat
en dan elders bij een server connectie probeert te zoeken en informatie en verdere gegevens uitwisselt.
Dingetjes binnen zo'n docker applicatie zouden daar mogelijk best verantwoordelijk voor kunnen zijn?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

Zeer veel false positive meldingen

Gestart door larrvyllBoard Antivirus Essential

Reacties: 6
Gelezen: 6260
Laatste bericht 20 november 2015, 17:47:46
door Birdy