Google Docs platform voor phishingaanvallen
Cybercriminelen gebruiken Google Docs voor het hosten van phishingaanvallen en stelen van inloggegevens voor internetbankieren. De e-mails zijn gericht aan klanten van een grote Australische bank en de online gebruikers van een webportaal van een grote Amerikaanse school. De link in de e-mail wijst naar Google Docs. Volgens Paul Ducklin van anti-virusbedrijf Sophos biedt dit de cybercriminelen verschillende voordelen.
Hosting
Zowel het hosten van de phishingformulieren als het verzamelen van de frauduleus verzamelde gegevens wordt gratis door Google gedaan. Daarnaast biedt Google Docs een eenvoudige manier voor het ontwerpen van formulieren en kan de software automatisch e-mails genereren waar het slachtoffer op klikt en zo bij het phishingformulier uitkomt.
De ingevulde gegevens worden automatisch in een met wachtwoord beveiligde spreadsheet verzameld, die overal vandaan is te downloaden. Door het gebruik van HTTPS zou het gebruikers een gevoel van veiligheid geven, terwijl google.com een "aura van legitimiteit heeft", aldus Ducklin.
Want wie bewijst er on-omstotelijk dat er niemand anders dan jij / jouw team toegang heeft tot jouw Google-Docs documenten, die weet-ik-waar-ter-wereld liggen op geslagen op andersmans (Google?) servers in een of andere totaal-ondoorzichtige cloud structuur.
en een tegenvraag
Wie bewijst er on-omstotelijk dat er niemand anders dan jij / jouw team toegang heeft tot jouw Internet lijntje, in een totaal-ondoorzichtige verbindings structuur.
Want wie bewijst er on-omstotelijk dat er niemand anders dan jij / jouw team toegang heeft tot jouw Google-Docs documenten, die weet-ik-waar-ter-wereld liggen op geslagen op andersmans (Google?) servers in een of andere totaal-ondoorzichtige cloud structuur.
Zucht, jouw eigen server is natuurlik volledig onhackbaar....
Zo'n vraag ook een keer gehad. Iemand had gevoelige gegevens gemailed naar een zakenpartner. Maar iemand binnen de organisatie van de afzender, die het niet had horen te weten, was op de hoogte van details. Via welke routes wordt die mail allemaal verstuurd? Welke servers zitten er tussen en gaat het via Amerika of India?
Onderzoek toonde aan dat de mail van onze server rechstreeks was afgeleverd op de sever van de ontvanger. Ik ken het netwerk tussen beide servers en ik weet dat de bitjes niet buiten Nederland waren geweest.
Uiteindelijk bleek het aannemelijker dat de tekst was uitgeprint en zichtbaar op het bureau van iemand had gelegen. Je hebt helemaal geen computer nodig om gegevens bij mensen te krijgen die het niet horen te weten.
Peter
1. Je eigen Internet Service Provider kan in ieder geval alles lezen wat je verstuurt over zijn/haar verbindingen, als je geen VPN of HTTPS verbindingen gebruikt richting "het internet" (buiten de i.s.p. kabelboom)
2. Daarnaast kijken er allerhande "overheids clubjes" mee wat Den Ollander uitspookt online (onder het mom van terrorisme, kinderporno bestrijding, download-controle, ACTA, cyber-war en andere content-censuur wetjes)
Zie hieronder een overzichtje van artikelen op dat gebied:
Tappen: alle providers nu illegaal
http://archief.fnl.nl/ct-nl/archief2001/ct2001-06/ct200106032033.htm
Justitie gaat meer burgers aftappen
http://www.security.nl/artikel/32984/1/Justitie_gaat_meer_burgers_aftappen.html
Aftappen ISP's thread op Tweakers
http://gathering.tweakers.net/forum/list_messages/244849///aftap%2Cinternet
Aftappen in Nederland - Ho 13 van de Nederlandse Telecom wet
http://www.slideshare.net/Raindeer/aftappen-in-nederland-presentation-663515
Dus eigenlijk kun je nooit met 100% zekerheid zeggen dat "jouw materiaal" veilig over het internet rijst.
De meeste kans maak je door gebruik te maken van het TOR netwerk en alles wat je verstuurd te versleuten.
Dan nog weet je niet wat beheerders van online platformen (websites, forums, blog, social networking communities over jouw internet surf/download gedrag:
- Monitoren (voor zichzelf, marketing)
- Doorverkopen aan derden (surfgedrag, voorkeuren, persoonlijke data)
Dan lijkt mij persoonlijk al je kostbare data OFFLINE opslaan een betere optie dan Google Docs (in the clouds), mdat er dan geen gegevens van je, in welke vorm dan ook, over het internet reizen.
Wat niet online staat, kan een ander ook niet mee aan de haal gaan, zonder dat jij er weer van hebt ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.