Security Professionals - ipfw add deny all from eindgebruikers to any

facebook inlog virus

06-09-2014, 14:43 door Anoniem, 6 reacties
Nod32 gaf vanmorgen deze melding tijdens het inloggen bij facebook

6-9-2014 14:35:30 HTTP filter archive
http://facebookinloggen.com
HTML/ScrInject.B.Gen virus
connection terminated - quarantined

Vraag:
Bij welke website kun je dit soort dingen het beste melden.
Een site die goed bezocht word zodat zoveel mogelijk mensen hierop geattendeerd kunnen worden,

Met vriendelijke groet Jan
Reacties (6)
06-09-2014, 17:12 door Spiff has left the building
Door Anoniem:
Vraag:
Bij welke website kun je dit soort dingen het beste melden.

Beste Jan,
Mogelijk is het een false positive melding (vals alarm).
Zekerheidshalve kun je dat het beste laten uitzoeken door ESET, zie:
http://kb.eset.com/esetkb/index?page=content&id=SOLN141
--> http://kb.eset.com/esetkb/index?page=content&id=SOLN141#SubmitWebsite

Overigens is http://facebookinloggen.com niet de Facebook inlogpagina.
De Facebook inlogpagina is dit: https://www.facebook.com/login
06-09-2014, 18:46 door RizzoRat
Bij mij staat anders alleen maar https:// www.facebook.com. GEEn login erachter.
06-09-2014, 19:50 door Anoniem
slimme actie hoor.. inloggen op facebookinloggen.com.. dan weet je toch meteen dat er iets niet klopt?
07-09-2014, 10:48 door iAm - Bijgewerkt: 07-09-2014, 10:49
@Anoniem:

In dit soort gevallen zou je eens kunnen kijken op https://www.virustotal.com om te zien of die url al bekend is als malware.

Als hij er niet bijstaat klik je even op het rode icoon, dan weet de volgende die kijkt dat in ieder geval iemand "denkt" dat het foute boel is (natuurlijk alleen doen als je het echt vrijwel zeker weet).

Vervolgens kun je andere internetters helpen door de site te rapporteren op bijvoorbeeld:
- https://www.google.com/safebrowsing/report_badware/
- https://www.badwarebusters.org/community/submit
In de meeste browsers zit daarnaast ook nog wel een mogelijkheid om een site te rapporteren (b.v. Opera, die uiteindelijk http://toolbar.netcraft.com/report_url opent )

Het bedrijf waar de "fake" pagina over gaat zal zelf overigens ook nog wel geholpen worden als je de site rapporteert.
Dat kan voor Facebook via https://www.facebook.com/whitehat

Overigens staat op deze site wel heel duidelijk onderin:
"is in geen enkel opzicht onderdeel van het Amerikaanse bedrijf Facebook Inc. Het merk Facebook is eigendom van Facebook Inc."
07-09-2014, 14:36 door Erik van Straten
Door Anoniem: Nod32 gaf vanmorgen deze melding tijdens het inloggen bij facebook

6-9-2014 14:35:30 HTTP filter archive
http://facebookinloggen.com
HTML/ScrInject.B.Gen virus
connection terminated - quarantined

Vraag:
Bij welke website kun je dit soort dingen het beste melden.
Een site die goed bezocht word zodat zoveel mogelijk mensen hierop geattendeerd kunnen worden,

Met vriendelijke groet Jan
Interessant is te weten hoe je op die site (facebookinloggen.com) terecht bent gekomen. Was dat een "dienst" die je altijd al gebruikte, of heb je bijv. gegoogled naar facebookinloggen of facebook inloggen?

Door "narigheid" kan het geberuren dat de echte Facebook dan niet bovenaan staat. Als ik Google (ik gebruik de Engelstalige https://encrypted.google.com/ met Javascript uit) naar facebook inloggen zie ik:

1) Een advertistement voor "Facebook.com - Vind vrienden op Facebook" waarmee ik op https://www.facebook.com/ terechtkom. Dat is nu in orde, maar uit de link die ik zie (als ik de muispijl boven de tekst plaats) laat mij niet duidelijk zien waar ik naartoe zal gaan. Persoonlijk vermijd ik dit soort links zoveel mogelijk.

2) "Facebook" -> https://www.facebook.com/login (in orde)

3) "Inloggen Nederland | Facebook" -> https://www.facebook.com/inloggennederland (in orde)

4) "Facebook inloggen - log hier in op Facebook" -> www.facebookinlog.com/ - nepsite

5) "Facebook Inloggen - Facebook Help - Login | Facebook" -> facebookinloggen.com/ - nepsite

6) "Facebook Aanmelden - Facebook Inloggen" -> facebookinloggen.com/facebook-aanmelden/ - nepsite

7) "Facebook Inloggen - Log nu in op Facebook" -> www.facebookinloggen.net/ - nepsite

8) "Facebook inloggen - Alles over facebook inloggen is hier" -> facebookinloggen.nl/ - nepsite

9) "FACEBOOK LOGIN | Facebook login - inlogservice" -> www.facebook-login.eu/ - nepsite, en mijn antivirus blokkeerde de toegang

10) Niet relevant, Spotify waarop je middels een Facebook account kunt aanmelden, daarom gevonden door Google

11) FACEBOOK - LOGIN | Facebook Inlogservice -> www.facebooklogin.be/ - nepsite

Kortom, van de 11 verwijzingen op de 1e pagina met Google resultaten leiden 7 naar sites die er mogelijk op uit zijn om Facebook accountgegevens te verzamelen. En zelfs als ze jou een "dienst" zouden verlenen (aanmelden zonder gegevens in te vullen), op dit soort sites inloggen gebeurt via http en is dus onveilig, vooral via publieke draadloze netwerken. Opvallend vind ik dat Google bij geen enkele van deze sites meldt dat je ze niet moet vertrouwen.

De virusmelding die je kreeg zou erop kunnen wijzen dat een van die diensten zelf gehacked is en malware verspreidt. Als je van een publiek draadloos netwerk gebruik maakt kan het ook zijn dat de DNS daarvan gehacked is, en je naar een andere dan de "echte" facebookinloggen.com bent gestuurd (of dat malware is geinjecteerd in de verbinding). Dat is precies de reden waarom https zo belangrijk is bij dit soort netwerken.

Er zijn verschillende oorzaken te bedenken waardoor bovenstaande volgorde van Google zoekresultaten door aanvallers kan worden gewijzigd, zelfs zo dat verwijzingen naar de "echte" Facebook niet meer voorkomen. Helaas is de praktijk dat veel eindgebruikers Google (of Bing) als startpagina gebruiken en "zoeken" naar de site waar ze op willen inloggen, in plaats van bookmarks aan te maken en die te gebruiken.
07-09-2014, 17:07 door mcb
Hopelijk overbodig commentaar, maar log even in op de officiele site (zoals hierboven gesteld: https://www.facebook.com/login) en wijzig ASAP je pw.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.