Successful Credential Theft Detected

[Datk]

Beste,

De afgelopen dagen logde ik toevallig in op de router en kwam daar een melding tegen die me zorgen baarde.
Hierop heb ik direct enkele stappen ondernomen:

De wachtwoorden van zowel de NAS als de router (voor de admin-gebruiker) aangepast.

Het SSID-wachtwoord van het privé netwerk gewijzigd.

Op dezelfde dag heb ik een Finex V2 smart deurbel toegevoegd aan het IoT-netwerk.
Per ongeluk is deze aanvankelijk verbonden geweest met het privé netwerk.

Daarnaast heb ik de systeemlogs van diezelfde dag bekeken, maar voor zover ik kan beoordelen zijn daar geen bijzonderheden of afwijkende activiteiten in te vinden.

Op dit moment weet ik niet goed wat ik verder nog kan doen of hoe ik deze situatie moet beoordelen.
Hieronder vindt u het volledige bericht van Threat Prevention.

##
alert dns $HOME_NET any -> any any (msg:"ET POLICY Observed DNS Query to KnowBe4 Simulated Phish Domain"; dns.query; content:".phishtrain.org"; nocase; endswith; threshold: type limit, track by_src, count 1, seconds 120; classtype:credential-theft; sid:2029830; rev:3; metadata:affected_product Any, attack_target Client_Endpoint, created_at 2020_04_08, deployment Perimeter, confidence High, signature_severity Minor, updated_at 2021_12_23, reviewed_at 2024_05_06;)

[Babylonia]

Threat Prevention gebruik ikzelf niet.

Maar deurbellen en webcams e.d. maken vaak contact met een externe server.
Waarbij je maar moet afwachten wat er verder aan data wordt doorgesluisd?
(Met name Chinese deurbellen en webcams).

Heb je voor die deurbel zelf wel de nodige maatregelen genomen om bijv. een aan te maken account goed te beveiligen?
(Vond o.a.  < deze YouTube installatie video > ).

Mogelijk wordt dat opgepikt door Threat Prevention ??

Je hebt in ieder geval een plaatje bijgevoegd, waarbij zowel bron IP als doel IP is vastgelegd.
Gedeeltelijk "geblurd".

Bron IP, zal dan mogelijk je eigen internet WAN IP adres zijn waarachter je Synology router zit.
Dus dat je dat verbergt kan ik me dan wel voorstellen.

Maar voor het doel-IP van een "verdacht" IP-adres, hoef je daar toch niet zo geheimzinnig over te doen?
In ieder geval kun je van dat IP-adres uitzoeken welk domein erachter zit met verdere domein gegevens?
Dan heb je een "idee" naar welke regio de data naartoe gaat.
En daarmee misschien een inschatting m.b.t. het "gevaar" wat je loopt?

https://whatismyipaddress.com/ip-lookup

Met de twee wel bekende IP-adres nummertjes  ---->  84.xx.46.xx

En willekeurige invulling voor het 2e en 4e  deel van het IP Adres

Kwam ik met  84.50.46.50  in  "Estonia"     terecht.  https://whatismyipaddress.com/ip/84.50.46.50

                     84.55.46.50  in  "Litouwen"  terecht.   https://whatismyipaddress.com/ip/84.55.46.50

Lijkt me in ieder geval niet de juiste verbinding waar data naartoe gesluisd moet worden.
Uiteraard wel het volledige doel IP-adres invullen.
Voor een goede vergelijking kun je dat nog eens controleren met een paar andere  "Whois IP"  websites.
-

[Datk]

Bedankt voor je antwoord! 😊

Ik heb de deurbel geïnstalleerd volgens de aanwijzingen in het filmpje en toegevoegd aan het IoT-netwerk, waar ook andere apparaten zijn aangesloten.
Dit heb ik gedaan om ongewenste toegang tot het reguliere netwerk te voorkomen.
Nu vroeg ik me af: hoe kan ik controleren of de deurbel, zoals jij aangaf, mogelijk extern informatie doorsluist?
Bestaat er een manier om dit te checken of te monitoren?
De deurbel zelf heeft namelijk een heel ander ip adres.

Dank ook voor het compliment! 😅 Ik werd er wat zenuwachtig van, omdat ik nog niet precies had vastgesteld wat ik het beste kon doen.
en ik bang was dat er via een backtrace alsnog iets naar mij te herleiden zou zijn.

Hier is de link naar het doel-IP-adres: https://whatismyipaddress.com/ip/84.116.46.22

[dirklammers]

Kun je de deurbel in de router niet blokkeren voor uitgaand verkeer naar het internet? Alleen dus verkeer naar je eigen LAN toelaten?

Groet, Dirk

[Babylonia]

Hier is de link naar het doel-IP-adres: https://whatismyipaddress.com/ip/84.116.46.22

De verdere domein gegevens verwijst naar  "Liberty Global B.V."

Dat is dan weer gelieerd aan:
https://www.libertyglobal.com/about/who-we-are/
https://www.libertyglobal.com/operations/how-we-do-business/

Met voor Nederland gerelateerd aan Vodafone / Ziggo
https://www.libertyglobal.com/operations/our-brands/vodafoneziggo-in-the-netherlands/

Waaronder ook video "TV" content.
Zit je toevallig bij Ziggo als provider, en kijk je bijv. naar "sport" en Formule-1 races ??
Het lijkt allemaal minder erg te zijn dan misschien gedacht ??   (Een "false positive"  m.b.t.  detectie door Threat prevention).

Ofwel "lijkt" het niet te maken te hebben met je deurbel.  (Of misschien een vreemde twist in detectie ?).
Dan zou als "bron IP", inderdaad eerder het interne LAN IP-adres van de deurbel aangegeven moeten zijn.

Er zijn opties om "per apparaat" /  IP-adres van het interne netwerk te achterhalen welke verbindingen naar "buiten toe" worden gelegd.

Met Synology SRM Nederlandse interface:  Netwerkcenter  --->  Verkeersbeheer ---> Bewaken
                    SRM Engelstalige interface:   Network Center --->  Traffic Control  ---> Monitor

Ik heb dat in het verleden bijvoorbeeld wel eens expliciet uitgezocht voor mijn Goodwe "zonnepaneel omvormer".
Die maakt naar buiten toe alleen connectie met een "Goodwe" server om data m.b.t. opwekking van stroom vast te leggen in een klantenportaal.

De volgende referenties:
https://www.synology-forum.nl/synology-router/hoe-live-traffic-bekijken/msg327708/#msg327708
https://community.synology.com/enu/forum/2/post/124384?reply=423797

Vervolg reactie vanuit die eerste verwijzing:
https://www.synology-forum.nl/synology-router/hoe-live-traffic-bekijken/msg327715/#msg327715

Resultaat "nu" voor mijn Goodwe zonnepaneel omvormer.
Maar zou evengoed ook voor een deurbel bekeken kunnen worden, met welke server die deurbel contact maakt.