image

Valse zendmasten in China gebruikt om malware te verspreiden

woensdag 22 maart 2017, 09:54 door Redactie, 5 reacties

Criminelen in China maken gebruik van valse zendmasten om Android-malware te verspreiden. Via de zendmasten versturen de criminelen sms-berichten die van Chinese telecomproviders afkomstig lijken en zeer overtuigend zijn, zo meldt beveiligingsbedrijf Check Point.

In het sms-bericht wordt gelinkt naar een kwaadaardige app. Naast sms-berichten die zogenaamd van de telecomprovider afkomstig zijn maken de criminelen ook gebruik van sms-berichten die zich als app-update of werkgerelateerde documenten voordoen. Als gebruikers de app installeren vervangt de malware de standaard sms-app voor Android door een aangepaste versie.

Deze versie kan sms-berichten onderscheppen om zo tweefactorauthenticatie-codes voor mobiel bankieren te onderscheppen. Daarnaast steelt de malware ook inloggegevens voor de banksite en andere persoonlijke informatie, waardoor criminelen toegang tot de bankrekening kunnen krijgen en geld kunnen stelen.

Reacties (5)
22-03-2017, 10:11 door Anoniem
Iemand zich wel eens afgevraagd waarom bv. kerberos niet alleen authenticatie van gebruikers verlangt, maar ook van de diensten waar de gebruikers gebruik van wensen te maken? Nou, om dit soort ongein, dus.

Toegang tot de dienst krijg je via een "gedeeld geheim", een sleutel in je sim en in een databank van je dienstverlener. Aan je dienstverlener bewijzen dat jouw sim het juiste geheim bevat beschermt je niet tegen een dienst die om het even welke gebruiker toegang geeft en hem vervolgens rommel voorzet. Je wil niet alleen dat jij je bewijst tegenover je leverancier, maar ook dat hij zich bewijst tegenover jou. Dit nalaten is een fundamenteel probleem in het ontwerp van het protocol.
22-03-2017, 11:43 door Erik van Straten
22-03-2017, 10:11 door Anoniem: Je wil niet alleen dat jij je bewijst tegenover je leverancier, maar ook dat hij zich bewijst tegenover jou. Dit nalaten is een fundamenteel probleem in het ontwerp van het protocol.
Om dezelfde reden snap ik niet waarom WiFi access points zich uitsluitend identificeren met een doodsimpel te spoofen SSID.

Met een self-signed certificaat had je ten minste nog TOFU (dicht te timmeren door een fingerprint van het certificaat op een sticker op het AP af te drukken. Vootwaarde is natuurlijk wel een zorgvuldig gegenereerd uniek sleutelpaar.
22-03-2017, 12:20 door Anoniem
Door Erik van Straten:
22-03-2017, 10:11 door Anoniem: Je wil niet alleen dat jij je bewijst tegenover je leverancier, maar ook dat hij zich bewijst tegenover jou. Dit nalaten is een fundamenteel probleem in het ontwerp van het protocol.
Om dezelfde reden snap ik niet waarom WiFi access points zich uitsluitend identificeren met een doodsimpel te spoofen SSID.
Het SSID is de naam van het ding, niet het wachtwoord.

Met een self-signed certificaat had je ten minste nog TOFU (dicht te timmeren door een fingerprint van het certificaat op een sticker op het AP af te drukken. Vootwaarde is natuurlijk wel een zorgvuldig gegenereerd uniek sleutelpaar.
Wil je een certificaat van het ding dan moet je WPA Enterprise (en dus 802.1x) opzetten. Kost een hoop gedoe maar het kan wel.

Maargoed, ja dat had vast beter gekund. Maar als je bedenkt dat wifi begon met WEP, wat ik weer tegenkwam in een college introductie cryptografie, met als hele duidelijke boodschap "zo moet het dus niet", dan snap je vast wel waarom dat soort handigheidjes er gewoon niet in zitten.
22-03-2017, 13:42 door PietdeVries
22-03-2017, 10:11 door Anoniem: Om dezelfde reden snap ik niet waarom WiFi access points zich uitsluitend identificeren met een doodsimpel te spoofen SSID.

Dat is om exact dezelfde reden als al die andere security gaten in oude protocollen: omdat toen die protocollen bedacht werden we nog geen idee hadden dat er hackers op zouden staan die misbruik van dit feature zouden kunnen gaan maken. Vertrouwen in plaats van controle - je ziet waar het ons brengt.

Ergens halverwege het traject zal vast iemand geroepen hebben dit dat mis zou gaan, maar op dat moment waren er al teveel apparaten uitgerold om nog eenvoudig de plooien weer glad te strijken. Zie het als links rijden: het zou voor veel zaken handiger zijn om iedereen rechts te laten rijden, maar je krijgt 't niet meer voor elkaar.
22-03-2017, 22:16 door Anoniem
Door PietdeVries: Dat is om exact dezelfde reden als al die andere security gaten in oude protocollen: omdat toen die protocollen bedacht werden we nog geen idee hadden dat er hackers op zouden staan die misbruik van dit feature zouden kunnen gaan maken. Vertrouwen in plaats van controle - je ziet waar het ons brengt.
Gelukkig zijn het altijd alleen maar die "hackers", en dus is het probleem eigenlijk wel goed en wel in de hand.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.