Journalist laat zich hacken via social engineering en phishing
Een Amerikaanse journalist die als onderdeel van een experiment wilde kijken of hackers toegang tot zijn gegevens en systeem konden krijgen is uiteindelijk via social engineering en phishing gehackt. Het experiment van Kevin Roose is identiek aan dat van journalist Adam Penenberg drie jaar geleden.
Ook hij wilde zich laten hacken door hackers en werd uiteindelijk via een besmette e-mailbijlage gehackt. In het geval van Roose bestond de aanval uit twee onderdelen. Eerst gebruikten de onderzoekers social engineering om allerlei gegevens over hem te achterhalen, waarbij ze verschillende kabelbedrijven en een nutsbedrijf belden om te kijken of Roose daar een account had. Op Twitter ontdekte één van de onderzoekers dat de journalist bij Alibaba een hoverboard had besteld.
Vervolgens maakte hij een phishingmail waarin Roose zijn bestelling voor de douane moest bevestigen. Iets waar de journalist intrapte. De social engineering-aanval was nog niet voorbij, aangezien één van de vrouwelijke onderzoekers zich als de vrouw van Roose voordeed en zijn telecomaanbieder belde. Ze vroeg toegang tot het account van Roose, waarbij ze in de achtergrond het geluid van een huilende baby afspeelde. Uiteindelijk gaf de medewerker haar toegang tot zijn account. Ze kon vervolgens het wachtwoord wijzigen, waardoor Roose geen toegang meer zou hebben.
Certificaat
Het tweede deel van de aanval bestond uit phishing. Hierbij ontdekte één van de onderzoekers de persoonlijke website van Roose, gehost door Squarespace. De onderzoeker registreerde een domeinnaam dat op een letter na identiek aan die van Squarespace was. Vervolgens plaatste hij daar een nagemaakte website. De onderzoeker stuurde Roose hierna een e-mail dat hij via de website een certificaat moest installeren om de veiligheid van zijn website te verbeteren.
In werkelijkheid ging het om malware waarmee hij toegang tot de Mac-computer van de journalist kreeg. Via nagemaakte dialoogvensters wist de onderzoeker het beheerderswachtwoord te achterhalen, waarna er een keylogger werd geïnstalleerd voor het achterhalen van informatie en wachtwoorden en een programma om foto's via de webcam te maken.
Tips
Na afloop van het experiment gaven de experts verschillende basale beveiligingstips aan Roose om herhaling te voorkomen. Zo had hij niet op ongevraagde links in e-mails moeten klikken. Door zelf het adres van de websites in de browser in te tikken had hij beide phishingsites kunnen vermijden. Tevens kreeg hij het advies om twee-factor authenticatie in te stellen en het firewallprogramma Little Snitch voor Mac OS X te installeren. Een programma dat Roose niet kende.
Wat betreft het risico van social engineering nam hij contact op met zijn telecomaanbieder, internetprovider en bank en stelde dat niemand aanpassingen aan zijn account mag maken, tenzij ze een viercijferige pincode kunnen geven. "Uiteindelijk ben ik blij dat ik gehackt werd. Nu heb ik een goed idee waar mijn beveiliging tekortschoot en weet ik hoe dit kan worden verholpen." Hieronder een korte video van het experiment.
Listig hoor, een krijsende baby op de achtergrond afspelen.
Dat verhoogt de urgentie van meewerken aan de andere kant van de lijn wel. ;)
Een heel aantal factoren staan buiten de standaard invloed van het slachtoffer.
Een ander deel van die factoren is inderdaad een kwestie van goed opletten.
Ook het advies van het installeren van een deregelijke extra uitgebreide outbound firewall is op zich niet verkeerd (als protectie laag) maar gaat voor een gemiddelde gebruiker slecht/nooit werken.
Wat ik heb gezien bij gebruikers die een dergelijk programma gebruikten is dat het te ingewikkeld was.
Het is een goed programma maar zal met behulp van een ander moeten worden geconfigureerd opdat die gebruiker geen pop up vragen krijgt waar het niet weet wat het er mee aan moet.
Bijvoorbeeld (bij benadering) iets als
Niet toestaan? Wel Toestaan? Voor de sessie toestaan? Voor 1 keer toestaan?
Tja, toevallig geen idee hoe dat te beoordelen?
En klikkkerdeklikkklikklikenklikkenmaarrrr :
ja of nee?
Op die Mac (en elke pc) kunnen inderdaad heel erg veel poorten dicht maar ook weer een heel ondoenlijke zaak (als je voorbij poort niveau naar ip niveau wil) omdat bijvoorbeeld MAC OS X heel graag de variable vrijheid wil hebben voor de eigen services naar variabele ip adressen en over een aantal poorten te willen communiceren. Meestal 80 en 443.
Daar ga je al (dat wordt dus extra beheer op applicatie niveau! Heb je al drie config niveaus met een fijne firewall!)
Daarnaast is er nog een heel andere veel en veel lastiger component actief : de eigenaar gebruiker zelf!
Want als je iemand eens assisteert zul je zien dat het lastige is dat elke gebruiker altijd maximale vrijheid wil hebben plus de zekere garantie dat het allemaal altijd werkt.
Dat kan je als 'begeleider' niet/nooit bieden want je kan niet in de toekomst kijken en weten wat voor programma met wat voor functionaliteit iemand nou weer wil downloaden en jou dan later met veel kabaal benadert omdat het niet werkt!
Ga er maar aan staan. Ook al eens een poll over geweest, assisteren met computer configuraties.
In ieder geval, het simpelste wat je in ieder geval kan doen is je extensie weergave onder Finder voorkeuren maar eens activeren en elk file dat géén extensie heeft niet aanklikken=openen/activeren, want de (kleine) kans bestaat dat het dan een (verkeerde) executable betreft.
Geeft je Finder window ondanks een extensie toch een zwarte/donkere icoonweergave met de kleine groene lettertjes 'exec', open het bestand dan beter ook maar niet.
Probeer uit te zoeken wat het is, vraag het een ander, of en gooi het weg als het kan (ik ga ervan uit dat je dan wel in je normale account omgeving zit en niet ergens in de normaliter onzichtbare library/systeem/root bestandsomgeving.)
Deze gebruiker klikte een link aan, vermoedelijk een download link.
Ja, als dan Safari je standaard browser is die standaard gedownloade links opent of jou wel waarschuwt bij openen maar jij dat direct weer klik-akkoord-weg-ermee aanklikt (zo doen 'we' dat toch?) dan kom je goed in de buurt van gesodemieter.
Met dank aan jezelf.
Kijk dus ook naar de voorkeuren van je Safari browser en haal dat vinkje van automatisch openen maar weg, kijk ook naar de andere privacy security voorkeuren en installeer een extensietje of wat om vervelend gedoe te voorkomen,.. een adblocker bijvoorbeeld,. en ..., ...
Heb je al eens gekeken naar de systeem voorkeuren rondom veiligheid en privacy?
Nee? ga dat dan eens gauw doen!
Overige tips laat ik voorlopig achterwege, omdat dit soort misbruik eigenlijk vrijwel niet voorkomt.
In ieder geval niet op grote en of commerciële schaal.
Die Mac is behoorlijk veilig maar social engineering is een krachtig spulletje, zeer krachtig. Ook Apple kan jou niet geheel beschermen tegen willens en wetens meewerken en waarschuwingen negeren.
(nou vooruit, een bekend tipje dan, AV installeren kan geen kwaad als scan extraatje op vooral pc malware.
Wel even goed kijken waar je akkoord mee gaat!
Aaiaii leeswerk ennnn dus dan maar blind klikken weer? Never ending story?
Je zou er bijna moedeloos van worden.
verlenen tot zijn account.
Zo zie je wel als je zelf alles op orden hebt je toch gehackt kunt worden om dat iemand anders het niet zo nauw neemt.
Het wordt tijd dat hier andacht aan wordt besteed.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.