Nieuws
image

Nederlandse journalisten 'gehackt' via e-mailbijlage

woensdag 13 februari 2013, 15:28 door Redactie, 11 reacties

Verschillende Nederlandse journalisten zijn op eenvoudige wijze via e-mailbijlagen 'gehackt'. Het gaat om redacteuren van Vrij Nederland die een e-mail van een onbekende man genaamd 'Roberto Aalzen’ ontvingen. Volgens de man zou hij persoonlijke informatie over Jorge Zorreguieta bezitten. De ontvanger hoeft alleen maar de bijgevoegde e-mailbijlage te openen, die met 7zip is ingepakt.

In het bericht staat een link naar het programma 7zip om de bijlage te kunnen openen. Eén van de redacteuren probeert de bijlage te openen en stuurt 'Aalzen' zelfs een e-mail terug dat dit niet lukt. In werkelijkheid is de bijlage malware die elke twintig minuten een screenshot van het beeldscherm maakt en die beelden naar de aanvaller stuurt.

Test
In dit geval is de 'aanvaller' het beveiligingsbedrijf Fox-IT, dat op verzoek van Vrij Nederland de eigen redactie test. Het blad wilde naar aanleiding van de inbraken bij de New York Times en Washington Post onderzoeken hoe eenvoudig het is om Nederlandse journalisten aan te vallen en bijvoorbeeld gegevens over bronnen te stelen.

En dat blijkt zeer eenvoudig, aangezien de journalisten hun eigen systemen met de malware infecteren en daar zelfs hulp bij zoeken. In dit geval werd er als bijlage een uitvoerbaar programma meegestuurd dat als spyware fungeerde. De journalisten hadden kunnen zien dat het om een applicatie ging, toch werd het bestand geopend en de computer besmet.

"Vaak gaat het ook om bewustwording. De eerste en allerbelangrijkste les is: klik niet overal op! Open geen bestanden van mensen die je niet kent", aldus Joost Pol van Certified Secure.

Reacties (11)
13-02-2013, 16:33 door Anoniem
" Eén van de redacteuren probeert de bijlage te openen en stuurt 'Aalzen' zelfs een e-mail terug dat dit niet lukt."

Dat is zoals het meestal gaat bij targeted attacks. Overigens zou je in een echte targeted attack (door China) vaak zien dat de afzender echt bestaat en dat die dus plotseling dergelijke berichten ontvangt.

Als je in de doelgroep van de aanvallers valt (overheid, nuts bedrijven, maakbedrijven, financiele organisaties) doe je er goed je personeel te instrueren zulke verdachte gebeurtenissen te melden.
13-02-2013, 17:23 door Anoniem
""Vaak gaat het ook om bewustwording. De eerste en allerbelangrijkste les is: klik niet overal op! Open geen bestanden van mensen die je niet kent", aldus Joost Pol van Certified Secure. "

En hoe moet je dan je werk doen? Vragen om een uittreksel in de email zelf oid?

Frappant trouwens dat Brenno de Winter ge-interviewd wordt, maar met geen woord rept over de hack van zijn mailserver, terwijl het toch om gehackte journalisten gaat.
13-02-2013, 17:26 door SirDice
Door Anoniem: Als je in de doelgroep van de aanvallers valt (overheid, nuts bedrijven, maakbedrijven, financiele organisaties) doe je er goed je personeel te instrueren zulke verdachte gebeurtenissen te melden.
De grote hamvraag is echter, "hoe herken je of iets verdacht is of niet?"
13-02-2013, 19:06 door john west
Zelf zou ik het openen in sandboxie,of helemaal niet.
13-02-2013, 20:26 door Anoniem
Door SirDice:
Door Anoniem: Als je in de doelgroep van de aanvallers valt (overheid, nuts bedrijven, maakbedrijven, financiele organisaties) doe je er goed je personeel te instrueren zulke verdachte gebeurtenissen te melden.
De grote hamvraag is echter, "hoe herken je of iets verdacht is of niet?"

Zoals gezegd, zodra iemand een door mensen opgesteld bericht "terug" krijgt dat hij/zij zelf niet heeft verstuurd. Dat is heel verdacht, reden voor melding en voor de security specialist het startsein van een grondig onderzoek. Als specialist ga je in dat onderzoek onder meer achter het oorspronkelijke bericht aan en bekijk je de headers en inhoud.
13-02-2013, 20:27 door [Account Verwijderd]
[Verwijderd]
13-02-2013, 21:04 door Anoniem
Door Peter V: Het eerste wat dom is, is het feit dat een gewone e-mailclient is gebruikt.

Met een webformulier heb je dit probleem niet.

Want met een webformulier kan je geen bijlages openen?
13-02-2013, 22:38 door Korund
Door Anoniem:
Als je in de doelgroep van de aanvallers valt (overheid, nuts bedrijven, maakbedrijven, financiele organisaties) doe je er goed je personeel te instrueren zulke verdachte gebeurtenissen te melden.
Dat gebeurt al, in elk geval bij de grote banken en nutsbedrijven.
14-02-2013, 08:29 door grrr
Goede actie, alleen kost het wat $$$
14-02-2013, 10:20 door sjonniev
Een beetje mailbeveiliging had een uitvoerbaar programma in het zip bestand opgemerkt, en indien zo ingesteld als verboden bijvoegsel geblokkeerd. Lukt uiteraard niet bij versleutelde archiefbestanden.

Een goede client firewall had, in het geval dat malware/ongewenste bestandssoort-detectie op de gateway en anti-malware en HIPS op de client de kwaadaardige software niet herkend zouden hebben, het phone-home verkeer kunnen blokkeren, en daar een detectie kunnen triggeren.

Dus ik ben erg benieuwd naar met wat voor maatregelen VN hun medewerkers beschermt. Of mogen die dat lekker allemaal zelf uitzoeken?
14-02-2013, 12:06 door Anoniem
Je moet je onwetende medewerkers aan de voorkant zoveel mogelijk willen afschermen tegen dit soort grappen. Daarnaast is het van belang dat je je medewerkers in dergelijke functies bewust maakt het fenomeen social engineering zodat naiviteteit plaats maakt voor gezonde nuchterheid/achterdocht.

Het is vrij knullig te noemen dat de jongens/meisjes van Vrij Nederland hun baan niet serieus nemen en op zijn minst de executable mime types niet blokkeren. Versleutelde archiefbestanden? Die kun je eveneens prima blokkeren of in elk geval in quarantaine laten plaatsen om later te (laten) reviewen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search