image

Loonadministrateur gehackt, klanten aangevallen

vrijdag 2 oktober 2009, 11:18 door Redactie, 2 reacties

Een grote Amerikaanse online loonadministrateur is vorige week gehackt, waarbij aanvallers de gestolen informatie gebruikten om klanten met malware te infecteren. PayChoice heeft 125.000 organisaties als klant en biedt daarnaast ook loonadministratie software aan 240 andere betalingsverwerkers aan. Vorige week woensdag ontvingen PayChoice klanten een e-mail die waarschuwde dat ze een plugin voor hun browser moesten downloaden om de online portal te kunnen blijven gebruiken. In werkelijkheid ging het om malware die gebruikersnamen en wachtwoorden onderschept.

Zeus
In tegenstelling tot standaard phishing e-mails, waren deze e-mails voorzien van naam, gebruikersnaam en een deel van het wachtwoord dat de ontvanger op de online portal gebruikte. De e-mail linkte naar een kwaadaardige website die de malware aanbood of via een drive-by download het systeem probeerde te infecteren. Het ging in dit geval om IE, Adobe Flash en Adobe Reader exploits.

Naar eigen zeggen ontdekte PayChoice op 23 september dat de online systemen gehackt waren. Direct werd de website offline gehaald en zou het klanten geadviseerd hebben om hun wachtwoorden te wijzigen. Eenmaal succesvol geinfecteerd, werd Trojan downloader Bredolab op het systeem geïnstalleerd. Deze malware downloadt aanvullende malware, in dit geval de Zeus trojan, en probeert aanwezige beveiligingssoftware uit te schakelen. Hoeveel klanten slachtoffer zijn geworden is nog onbekend.

Reacties (2)
02-10-2009, 12:15 door Anoniem
Een v/d grootsten op dat gebied in België gebruikt gebruikerscertificaten om te authenticeren. Mooie oplossing, ware het niet dat het self-signed certificaten zijn (idem ditto voor de server trouwens) en dat alle personeelsleden van één klant hetzelfde 'klant' certificaat krijgen ... oepsie.

security
----------- = pwned ?
usability
03-10-2009, 15:40 door Anoniem
Een zeer slim opgezette aanval. Petje af voor de uitvoering, al blijft het natuurlijk pure oplichting. Zijn de daders gepakt, en hebben ze veel geld buitgemaakt, of werd de aanval opgemerkt voordat ze de kans hadden om daadwerkelijk de gestolen informatie te misbruiken ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.