Sluwe JavaScript-phishingaanval op Outlook Web Access
Ministeries van verschillende landen, alsmede televisiemaatschappijen en andere organisaties zijn het doelwit van een sluwe phishingaanval geworden waarbij JavaScript en verkeerd gespelde domeinnamen werden gebruikt om inloggegevens voor Outlook Web Access (OWA) te stelen.
De phishingaanvallen begonnen met op maat gemaakte e-mails die naar verkeerd gespelde domeinnamen van bekende conferenties, beurzen, nieuwssites en evenementen linkten. Zo werd voor het domein eurosatory.com, van de gelijknamige grote defensiebeurs in Parijs, eurosatory2014.com gebruikt. Vervolgens werd er een phishingmail verstuurd naar ambtenaren van het Hongaarse Ministerie van Defensie die mogelijk naar de beurs zouden gaan.
De link in de e-mail wees naar de eurosatory2014.com. De pagina bevatte echter JavaScript die, als de gebruiker de link vanuit het OWA-voorbeeldvenster had geopend, een tab met de echte beurssite opende. Daarnaast zorgde de JavaScript ervoor dat de OWA-sessie in de andere tab naar een phishingpagina werd doorgestuurd die liet weten dat de gebruiker was uitgelogd en opnieuw moest inloggen. In het geval van de aanval op het Hongaarse Ministerie van Defensie gebruikten de aanvallers voor de phishingpagina het domein mail.hm.qov.hu, terwijl het echte domein mail.hm.gov.hu is.
Volgens anti-virusbedrijf Trend Micro lijkt het erop dat deze phishingaanvallen succesvol waren. Om de aanval te laten slagen waren er wel twee vereisten, namelijk dat het slachtoffer OWA gebruikt en de link in het voorbeeldvenster bekeek. Daarbij maakte het niet uit welke browser de potentiële doelwitten gebruikten.
Doelwitten
Naast het Hongaarse Ministerie van Defensie waren ook televisiemaatschappijen in verschillende landen, militaire attachés, het Franse Ministerie van Defensie, een Duitse multinational, Pakistaanse militaire functionarissen, Poolse overheidsfunctionarissen, het Amerikaanse Ministerie van Buitenlandse Zaken en de ambassade van het Vaticaan in Irak, alsmede het Amerikaanse SAIC, de Organisatie voor Veiligheid en Samenwerking in Europa (OSCE) en het Amerikaanse ACADEMI het doelwit van deze phishingaanvallen.
In het geval van de aanval op de OSCE werd als loksite vice-news.com gebruikt, terwijl het echte domein news.vice.com is. De phishingpagina wees naar log-in-osce.org, terwijl log-in.osce.org het echte domein is. De aanval op SAIC maakte gebruik van de domeinen natoexhibitionff14.com en webmail-saic.com, terwijl de echte domeinen natoexhibition.org en webmail.saic.com zijn.
Voor de aanval op ACADEMI werden de domeinen tolonevvs.com en academl.com ingezet, terwijl gebruikers dachten op tolonews.com en academi.com uit te komen. Wie er achter de aanvallen zit is onbekend, maar volgens Trend Micro zou de groep mogelijk al sinds 2007 actief zijn.
Volgens mij gaat het niet om JavaScript in de e-mail zelf, maar op de phisingpagina.
Wat ik opmaak dat er gebeurde is dat de JS op de pagina waarnaar gelinkt werd in de e-mail de tab met de oorspronkelijke Outlook Web Mail doorstuurde naar een phisingpagina en vervolgens de pas geopende tab (waarop dit script draait) doorstuurde naar de echte webpagina.
het is simpele klassieke Social engineering uit het boekje ten top.
Eigenlijk zijn het bijna complimenten met een pluim waard.
Geslaagd met vlag en wimpel.
Fascinerend hoor, social engineering.
Eigen verantwoordelijkheid?
Ergens ligt de verantwoordelijkheid vind ik meer bij de website aanbieders.
Want wat zou je moeten doen als je een webdomeinnaam verzint voor je organisatie?
Iets verzinnen waar je 'concurrenten' zo min mogelijk met gemakkelijke variaties op in kunnen springen.
Dat krijg je ervan, met dat (ook nog inconsequente) gekunstel met puntjes en streepjes in de naam.
Of registreer als houder op zijn minst dan de meest gelijkende naamvarianten er voor jezelf erbij (leert je gelijk goed nadenken over je naamgebruik!).
Daarnaast zijn we inmiddels in de mailbox ook nog eens zo gewend geraakt aan webdomeinlinks met (soms ook onbegrijpelijke) naamvarianten of andere linkdomeinnamen, met de nodige tussenliggende redirects van de html-mal 'massmailaanbieders'/'trackers', dat het eigenlijk heel normaal is dat de linknaam niet (geheel) overeenkomt met die van een organisatie.
Verkeerd geconditioneerd door de aanbieder zelf dus.
Weet jij bijvoorbeeld hoeveel en welke domein varianten een bank als ING in gebruik heeft? Post.nl?
Punt-nl, com, org, net, mail, prive, zakelijk, account, inlog, puntje streepje, ... ??
Voorbeelden in het artikel spreken al 'boekdelen'.
Is het dan heel gek dat gebruikers in een variant gaan trappen?
Mooie simpele krachtige voorbeelden.
Wat kan je eraan doen?
Gebruikers
Voortaan de links eerst 3 maal lezen?
Voortaan eerst opzoeken en controleren in het 'link-postcodeboek' (van Sidn)?
Aanbieders
Slim met je domeinnamen omgaan en extra namen registreren.
Minder url-naam-klooien in mailings en met externe tussenaanbieders (kappen met onbegrijpelijke/gepersonaliseerde trackinglinks ?)
Maar goed, het helpt uiteindelijk maar een beetje want variatiemogelijkheden genoeg.
* Iets soortgelijks bij browsers,
overweeg in ieder geval eens in de browsersettings van je browser nieuw geopende tabs op actief te zetten.
Nooit begrepen waarom de inactief setting altijd standaard staat ingesteld.
Als je een link opent wil je er immers naartoe, dus zou de tab ook actief moeten zijn.
Doe je dat niet dan is dat vroeg of laat vragen om moeilijkheden, dat is echt niet de schuld van sluwe javascripts maar van domme browsersettings.
Volgens mij gaat het niet om JavaScript in de e-mail zelf, maar op de phisingpagina.
Wat ik opmaak dat er gebeurde is dat de JS op de pagina waarnaar gelinkt werd in de e-mail de tab met de oorspronkelijke Outlook Web Mail doorstuurde naar een phisingpagina en vervolgens de pas geopende tab (waarop dit script draait) doorstuurde naar de echte webpagina.
Maar dat betekent wel dat er een kwetsbaarheid in OWA zit die ik niet kende - en waarvan Trend Micro stelt dat het geen vulnerability is...
Hoewel de Redactie correct vertaald lijkt te hebben pak ik toch de relevante tekst uit http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-pawn-storm.pdf erbij:
Next-Level Phishing Targets
The attackers used specially crafted emails to redirect targets to any of several phishing websites with domain names that were very similar to those of well-known conferences and media outfits. These websites did not host malicious content but visiting them did lead to the automatic execution of a nonmalicious JavaScript.
Opening such an email and clicking the link in OWA redirected victims to legitimate websites.
Note that two special conditions need to be met for the attacks to succeed—victims should use OWA and click the embedded links via the web portal’s preview pane. The attacks worked on any popular browser such as Firefox®, Safari®, Chrome™, and Internet Explorer®. No vulnerabilities need to be exploited for the JavaScript to work.
Als dit klopt, en er geen sprake is van een vulberability (zoals Trend Micro claimt), is het dus nog steeds niet veilig om een OWA preview pane te gebruiken. Waarom hebben gebruikers die mogelijkheid dan?
Of begrijp ik niet goed wat ik lees?
"Gebruikers
Voortaan de links eerst 3 maal lezen?
Voortaan eerst opzoeken en controleren in het 'link-postcodeboek' (van Sidn)?"
Vraag aan anoniem van 20:49: Wat is het 'link-postcodeboek' (van Sidn)? En hoe voer je het 'eerst opzoeken en controleren' uit?
Harry
Volgens mij (moet ik even testen) kan een webpagina die geopend is in een nieuw tabblad of venster door gebruik te maken van de JavaScript-functie window.open de locatie van het openende tabblad wijzigen.
Zonder te testen, volgens mij gaat het ongeveer zo:
<a href='javascript:void 0' onclick="window.open('anderdomein.com/webpagina2.htm')">Link</a>
<!-- Webpagina #2 -->
window.opener.location.replace('http://phishingsite.com/webpagina3.htm')
location.replace('http://legitiemesite.com')
"Gebruikers
Voortaan de links eerst 3 maal lezen?
Voortaan eerst opzoeken en controleren in het 'link-postcodeboek' (van Sidn)?"
Vraag aan anoniem van 20:49: Wat is het 'link-postcodeboek' (van Sidn)? En hoe voer je het 'eerst opzoeken en controleren' uit?
Harry
Beste Harry,
De 't.a.v.-gebruikers opmerking' kon/mocht met lichte ironie gelezen geworden, vandaar de vraagtekens erachter (er bestaat bij mijn weten geen 'officieel' link-postcodeboek ;)
Toelichting bij 'gebruikers' 'opties'
Voor het ontdekken van de verschillen tussen "mail.hm.qov.hu" en "mail.hm.gov.hu" moest ik wel drie keer kijken om het verschil te ontdekken (bril nodig?).
Een dergelijke concentratie en opgave is 'bijna niet te doen' bij elke link die je onder ogen krijgt. Maar je kan het jezelf proberen op te leggen, alle beetjes helpen.
De andere genoemde 'postcodeboek' optie die 'mogelijk' zou zijn maar ook niet in de 'werkbare lijn der verwachtingen ligt', is het opzoeken van de eigenaar van een domein.
Dat kan op zijn minst (voor nl hoofd-domeinen) een beetje via een organisatie als SIDN waar je kan controleren of een (hoofd)domeinnaam nog vrij is maar ook aan wie deze toebehoort (incl. de streepjes variaties, niet de puntjes-in-de-naam variaties).
Of SIDN met deze nieuwe 'functie' nu gelukkig van zou worden?
Eerst 'Googlen' is ook een optie, voor de internationale domeinen bijvoorbeeld.
In de herhaling; dus, wat kan je eventueel als gebruiker eraan doen?
"Goed opletten", zegt men altijd.
Dat wordt dan "heel heel heel goed opletten!" ; altijd 3x kijken, domeinnamen opzoeken (eigenaar uitzoeken) , andere opties... ?
Realistische oplossing?
Nee waarschijnlijk niet voor de meeste gebruikers; veell teveell moeitee.
Daarnaast, heb je nu eenmaal niet altijd de volle 100% concentratie.
Daarom zou de oplossing meer van de aanbieder kant moeten komen.
Heel strict genomen : als ik als gebruiker weet dat die aanbieder maar één basisdomein gebruikt hoef ik me niets meer af te vragen bij al die andere varianten ; die andere varianten zouden dan gewoon niet geldig zijn!
Simpel en alleen (het is maar een voorbeeld)
www.ing.nl/...
ipv al die andere mogelijke varianten op varianten die phishers kunnen verzinnen
www.mijn-ing.nl/
www.jouw-ing.nl/
www.mailings-ing.nl/
www.aanbiedingen-ing.nl/
www.mijn-prive-ing.nl/
.. www.verzin-maar-wat-op-domein-ing.nl/'
Volgens mij (moet ik even testen) kan een webpagina die geopend is in een nieuw tabblad of venster door gebruik te maken van de JavaScript-functie window.open de locatie van het openende tabblad wijzigen.
Zonder te testen, volgens mij gaat het ongeveer zo:
<a href='javascript:void 0' onclick="window.open('anderdomein.com/webpagina2.htm')">Link</a>
<!-- Webpagina #2 -->
window.opener.location.replace('http://phishingsite.com/webpagina3.htm')
location.replace('http://legitiemesite.com')
Het is mij een raadsel hoe deze aanval werkt.
Volgens mij (moet ik even testen) kan een webpagina die geopend is in een nieuw tabblad of venster door gebruik te maken van de JavaScript-functie window.open de locatie van het openende tabblad wijzigen.
Zonder te testen, volgens mij gaat het ongeveer zo:
<a href='javascript:void 0' onclick="window.open('anderdomein.com/webpagina2.htm')">Link</a>
<!-- Webpagina #2 -->
window.opener.location.replace('http://phishingsite.com/webpagina3.htm')
location.replace('http://legitiemesite.com')
Het is mij een raadsel hoe deze aanval werkt.
Nadere uitleg hier: http://blog.trendmicro.com/trendlabs-security-intelligence/operation-pawn-storm-putting-outlook-web-access-users-at-risk/
"Gebruikers
Voortaan de links eerst 3 maal lezen?
Voortaan eerst opzoeken en controleren in het 'link-postcodeboek' (van Sidn)?"
Vraag aan anoniem van 20:49: Wat is het 'link-postcodeboek' (van Sidn)? En hoe voer je het 'eerst opzoeken en controleren' uit?
Harry
Beste Harry,
De 't.a.v.-gebruikers opmerking' kon/mocht met lichte ironie gelezen geworden, vandaar de vraagtekens erachter (er bestaat bij mijn weten geen 'officieel' link-postcodeboek ;)
Toelichting bij 'gebruikers' 'opties'
Voor het ontdekken van de verschillen tussen "mail.hm.qov.hu" en "mail.hm.gov.hu" moest ik wel drie keer kijken om het verschil te ontdekken (bril nodig?).
Een dergelijke concentratie en opgave is 'bijna niet te doen' bij elke link die je onder ogen krijgt. Maar je kan het jezelf proberen op te leggen, alle beetjes helpen.
De andere genoemde 'postcodeboek' optie die 'mogelijk' zou zijn maar ook niet in de 'werkbare lijn der verwachtingen ligt', is het opzoeken van de eigenaar van een domein.
Dat kan op zijn minst (voor nl hoofd-domeinen) een beetje via een organisatie als SIDN waar je kan controleren of een (hoofd)domeinnaam nog vrij is maar ook aan wie deze toebehoort (incl. de streepjes variaties, niet de puntjes-in-de-naam variaties).
Of SIDN met deze nieuwe 'functie' nu gelukkig van zou worden?
Eerst 'Googlen' is ook een optie, voor de internationale domeinen bijvoorbeeld.
In de herhaling; dus, wat kan je eventueel als gebruiker eraan doen?
"Goed opletten", zegt men altijd.
Dat wordt dan "heel heel heel goed opletten!" ; altijd 3x kijken, domeinnamen opzoeken (eigenaar uitzoeken) , andere opties... ?
Realistische oplossing?
Nee waarschijnlijk niet voor de meeste gebruikers; veell teveell moeitee.
Daarnaast, heb je nu eenmaal niet altijd de volle 100% concentratie.
Daarom zou de oplossing meer van de aanbieder kant moeten komen.
Heel strict genomen : als ik als gebruiker weet dat die aanbieder maar één basisdomein gebruikt hoef ik me niets meer af te vragen bij al die andere varianten ; die andere varianten zouden dan gewoon niet geldig zijn!
Simpel en alleen (het is maar een voorbeeld)
www.ing.nl/...
ipv al die andere mogelijke varianten op varianten die phishers kunnen verzinnen
www.mijn-ing.nl/
www.jouw-ing.nl/
www.mailings-ing.nl/
www.aanbiedingen-ing.nl/
www.mijn-prive-ing.nl/
.. www.verzin-maar-wat-op-domein-ing.nl/'
Anoniem,
Bedankt voor jouw heldere uitleg.
Harry
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.