Trezor Wallet doelwit van phishingaanval via dns of bgp
Aanvallers zijn er dit weekend in geslaagd om gebruikers van de Trezor Wallet-website een phishingsite voor te schotelen, wat vermoedelijk via dns poisoning of bgp hijacking is gedaan. Dat heeft het ontwikkelteam bekendgemaakt. De Trezor Wallet is een apparaat voor het opslaan van cryptovaluta.
Dit weekend kregen gebruikers bij het bezoeken van de officiële domeinnaam wallet.trezor.io een certificaatwaarschuwing te zien. De website maakte van een ongeldig ssl-certificaat gebruik. Het bleek te gaan om een phishingsite die gebruikers vroeg hun "recovery seed" te herstellen. Daarnaast werden gebruikers gevraagd om hun ordernummer en recovery seed in te voeren. Volgens Trezor Wallet was ook dit een duidelijke waarschuwing dat er iets mis was, aangezien gebruikers wordt geïnstrueerd om nooit hun ordernummer en recovery seed op een computer in te voeren.
Met de gegevens hadden de aanvallers toegang tot opgeslagen cryptovaluta kunnen krijgen. Of en hoeveel slachtoffers er zijn gemaakt laat het ontwikkelteam niet weten. Hoe de aanvallers het voor elkaar kregen om op de officiële domeinnaam een phishingsite te tonen is ook nog onbekend, maar het ontwikkelteam gaat uit van dns poisoning of bgp hijacking. Via beide aanvallen kan een aanvaller de domeinnaam naar een ander ip-adres laten wijzen. Het onderzoek loopt echter nog. De phishingsite is uit de lucht gehaald.
CAA, DNSSEC, DANE (TLSA), HSTS, KeyPinning, EV certificaat etc. en het liefts keyless-signing op de webservers, juist bij dit soort websites, had een heleboel kunnen verhelpen/tegen gaan. Op het wachten van EV-verificatie na, kan je bovenstaande binnen een paar uur makkelijk automatiseren / configureren.
//Angelique
Echter: NIETS van dat alles heeft zin als gebruikers certificaatwaarschuwingen negeren (bij deze aanval is een self-signed certificaat gebruikt).
Het ENIGE dat bij exact dit soort aanvallen helpt is gebuikers opvoeden. Zij zouden m.i. achtereenvolgens moeten nagaan:
1) Vertrouw ik -op dit moment nog- de organistatie "Trezor Wallet" en iedereen (al dan niet direct in dienst bij die club) met toegang tot mijn data?
2) Is wallet.trezor.io een domeinnaam van de organisatie "Trezor Wallet"? En als ik niet precies weet welke subdomeinen die organisatie heeft, is dan op z'n minst "trezor.io" een geldig domein van die organisatie? En word ik niet oo het verkeerde been gezet met tresor.io of trezor.net o.i.d? Dubbelchecken dus!
3) Begint de URL in mijn browser met https://wallet.trezor.io/?
4) Zijn er geen certificaatwaarschuwingen of -foutmeldingen?
Als aan de eerste drie bovenstaande voorwaarden is voldaan maar niet aan 4, zouden ervaren gebruikers nog kunnen checken wat er mis is met het certificaat (met name "gisteren verlopen") maar dat raad ik af. Als dit soort organisaties hun certificaten niet op tijd vernieuwen, zijn het prutsers en kun je na de afweging bij punt 1 het beste stoppen.
Pas als aan alle 4 de bovenstaande voorwaarden is voldaan heeft het zin om enkele van de door jou genoemde maatregelen toe te passen.
Persoonlijk zou ik beginnen met een EV certificaat (en nee, ik verkoop die dingen niet) waarna de bezoeker zich zou moeten afvragen:
5) Had de site eerst wel een EV certificaat, en nu niet?
Helaas kun je dit, voor zover ik weet, nog niet afdwingen met technische middelen zoals HSTS, en het zou fraai zijn als bijv. HSTS, vergelijkbaar met DMARC, spoofing aan de echte domeineigenaar zou melden.
Punt 5 is geen simpele opgave als de gebruiker de site niet vaak bezoekt. Overigens vind ik dat alle overheidswebsites EV-certificaten zouden moeten gebruiken, want dan kun je aan burgers vragen om te checken of de overheidssite die zij bezoeken, een EV certificaat heeft. En te stoppen (en alarm te slaan) als dat niet zo is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.