image

Bankpersoneel doelwit van pdf die naar besmet document linkt

vrijdag 26 oktober 2018, 11:15 door Redactie, 9 reacties

Medewerkers van verschillende banken zijn vorige week het doelwit geworden van een aanval waarbij er een pdf-bestand werd gebruikt die weer naar een besmet document linkte. Dat laat securitybedrijf Palo Alto Networks weten. De aanval begon met een e-mail die als bijlage een pdf over een schikking bevatte.

In het pdf-bestand staat onder andere vermeld dat de gebruiker op een knop moet klikken om de pdf te bekijken. Deze knop linkt weer naar een doc-bestand met een kwaadaardige macro. Als de gebruiker vervolgens deze macro activeert wordt er malware op het systeem geïnstalleerd. Volgens Palo Alto Networks, dat de namen van de aangevallen banken niet bekend heeft gemaakt. zijn de e-mails afkomstig van de "Cobalt" groep.

Deze groep wordt verantwoordelijk gehouden voor het hacken van meer dan 100 banken wereldwijd waarbij meer dan 1 miljard euro werd gestolen. In maart van dit jaar werd de vermeende leider van de Cobalt-groep in Spanje opgepakt. Onderzoekers van het securitybedrijf vonden in de gebruikte pdf-bestanden metadata waardoor ze nieuwe activiteiten en de infrastructuur van de groep met elkaar in verband konden brengen.

Image

Reacties (9)
26-10-2018, 11:32 door Anoniem
De beveiliging hiervan is simpel, voorkom dat je pdf reader een link kan openen.
Banken die dit niet gedaan hebben zijn terecht slachtoffer.
(Netzoals banken die macro's niet uitgeschakeld hebben maar de gebruikers keuze bieden).
26-10-2018, 12:32 door [Account Verwijderd]
Door Anoniem: De beveiliging hiervan is simpel, voorkom dat je pdf reader een link kan openen.
Banken die dit niet gedaan hebben zijn terecht slachtoffer.
(Netzoals banken die macro's niet uitgeschakeld hebben maar de gebruikers keuze bieden).

...of (bijvoorbeeld) Sumatra PDF-Reader gaan gebruiken. Die ondersteunt geen clickable links. Heeft wel een OS restrictie: Er is alleen een Windows versie.

https://www.sumatrapdfreader.org/free-pdf-reader.html
26-10-2018, 12:55 door Anoniem
Door Balder:
Door Anoniem: De beveiliging hiervan is simpel, voorkom dat je pdf reader een link kan openen.
Banken die dit niet gedaan hebben zijn terecht slachtoffer.
(Netzoals banken die macro's niet uitgeschakeld hebben maar de gebruikers keuze bieden).

...of (bijvoorbeeld) Sumatra PDF-Reader gaan gebruiken. Die ondersteunt geen clickable links. Heeft wel een OS restrictie: Er is alleen een Windows versie.

https://www.sumatrapdfreader.org/free-pdf-reader.html

Inderdaad zelf gebruik ik op Windows ook Sumtra PDF en dit is veel veiliger dan die standaard pdf viewer dan wel Adobe Pdf en is ook nogeens snel.
26-10-2018, 14:31 door Anoniem
(Palo Alto Networks is zelf ook lekker bezig met tracking-verdachte pogingen zo te zien)

De betreffende .pdf via mail bleek op zichzelf onschadelijk, maar was wel heel speciaal geconstrueerd!

Er staat echter een link in die .pdf, samen met een tekst die de lezer wil overtuigen/verleiden om op deze link te klikken.
Pas als men inderdaad op de link klikt, wordt een kwaadaardige code (macro) opgehaald en uitgevoerd
(mogelijk moet je nog instemmen om de macro uit te voeren, dit weet ik zo niet zeker).

Wat zou u kunnen u doen tegen dit soort praktijken
Ik ben van mening dat het een bedrijfspolicy zou moeten worden: klik niet zomaar op links,
en verstuur/accepteer mails ook zoveel mogelijk zonder links, want het is vaak overbodig of gemakzucht.

Vaak kunt u ook de mogelijkheid van het kunnen klikken op links uitzetten in de email client.
Als het niet anders kan even een link aangeven in tekst is dan nog wel mogelijk (copy-paste), alleen even haastig op klikken is er dan niet meer bij.
Tegelijk dient er natuurlijk bewustwording te worden gecreeëerd onder de werknemers/gebruikers over het hoe en waarom.

Het kan bijv. worden opgenomen in de algemene voorwaarden o.i.d. dat meegestuurde links in mails niet worden geopend
omdat het te vaak heel ernstig fout kan gaan, en van buitenaf niet altijd even gemakkelijk door iedereen is te zien of een link kwaadaardig is of niet. Ook IT-security moet van bijzonder goede huize komen om alles tegen te houden zonder afbreuk te doen aan uw gebruikerservaring, en zelfs dan kun je het risico niet wegnemen dat er op een hele tricky manier stiekem nog wel eens iets heel ernstig fout kan gaan.

Een andere risicobeperkende mogelijkheid zou kunnen zijn: laat links eerst controleren door https://www.virustotal.com/.
Daar is ook een browser-extensie beschikbaar om dit nog makkelijker te maken. (VTexplorer)
Meer informatie hierover (als u niet te bang bent voor Google):
https://www.virustotal.com/en/documentation/browser-extensions/internet-explorer/

Deze tool zou in ieder geval moeten werken vanuit browsers en met gmail. Andere mail clients weet ik zo niet.
Het nadeel hiervan is nog wel dat er theoretisch een privacy-risico zou kunnen zijn.
Lees dus de privacy-voorwaarden of u het daarmee eens kunt zijn, en wees u bewust dat Virustotal eigendom is van het Amerikaanse Google en ga na of u die vertrouwt of niet.
Tegenwoordig behoort men dacht ik overal ter wereld rekening te houden met de GDPR in geval van Europese burgers.
(maar als het er op aan komt geloof ik niet dat iedereen op de wereld daar altijd evenveel van onder de indruk is.)

Daarnaast is "risico-verminderend" nog geen 100% garantie dat het helemaal nooit meer fout kan gaan.
Uitsluitend en alleen het "nooit meer klikken op links" geeft u echt garantie dat uw systeem op deze specifieke wijze ook nooit meer zal worden besmet.
(de praktijk kan echter weerbarstig zijn: er zullen vermoedelijk altijd mensen zijn die gebruik blijven maken van links)


(dit zijn gewoon maar wat ideeën die ik er over heb,
uiteraard is de keuze aan u, en zult u zich er ook zelf in moeten verdiepen wat u in uw specifieke situatie het beste lijkt)
26-10-2018, 15:32 door Anoniem
Die reader van Windows 10,via de browser is ook onveilig?
En die van Windows 8.1 dan?
26-10-2018, 17:51 door Anoniem
Door Anoniem: Die reader van Windows 10,via de browser is ook onveilig?
En die van Windows 8.1 dan?

Die ook gewoon Sumtra gebruiken.
Elke PDF reader die toestaat links of macro's te openen/uitvoeren is niet te vertrouwen.
26-10-2018, 21:28 door [Account Verwijderd]
Door Anoniem:
Door Anoniem: Die reader van Windows 10,via de browser is ook onveilig?
En die van Windows 8.1 dan?

Die ook gewoon Sumtra gebruiken.
Elke PDF reader die toestaat links of macro's te openen/uitvoeren is niet te vertrouwen.

Nou, een beetje relativeren is wel op zijn plaats hoor. In principe zijn die ook wel te vertrouwen. Adobe Reader bijvoorbeeld is echt geen rommel - als ik het dan weer overdreven cru stel - maar je komt in de verleiding om al die extra functies te gebruiken.
Mijn credo is altijd geweest en zal zijn: Het aantal kilobytes (grootte) is rechtevenredig aan 'exploitability' en Sumatra PDF is echt heel erg klein naar hedendaagse begrippen: 1895kb.
27-10-2018, 07:34 door Anoniem
Door Balder:

Nou, een beetje relativeren is wel op zijn plaats hoor. In principe zijn die ook wel te vertrouwen. Adobe Reader bijvoorbeeld is echt geen rommel - als ik het dan weer overdreven cru stel - maar je komt in de verleiding om al die extra functies te gebruiken.
Mijn credo is altijd geweest en zal zijn: Het aantal kilobytes (grootte) is rechtevenredig aan 'exploitability' en Sumatra PDF is echt heel erg klein naar hedendaagse begrippen: 1895kb.

Hoe minder functies er zijn des te beter de beveiliging is. (Ik weet dat dit te generaliserend is)
28-10-2018, 08:52 door karma4
Uit de link Palo Alto
- "Nowadays, it’s very easy for an advanced attacker to use commodity tools and malware along with very simple initial delivery methods to keep a low profile and stay away from possible attribution." standard tools goedkoop, open source.
- "This approach makes it more difficult for threat hunters and defenders to find those needles in the haystack necessary to identify a campaign and its objectives. " Needle in the hasystack ,,,,, dat si de big data uitdaging profiling van software

Aanvals tacktiek.
1/ Vind de potentiële slachtoffers en hoe je ze kan benaderen. Mail is maar een van de mogelijkheden.
2/ Zogr dat het lijkt op iets wat gangbaar is, Snuf en Snuit zijn te opvallend. De echte boef ziet er uit als je buren.

Hier komt de afwijking:
- Pishing preventie campagnes noemen enkel links bij mails. Ze zeggen niets over links in een extern verkregen iets. als een PDF of wat dan ook. Het maakt geen verschil maar niemand is dat verteld.... Klikken maar ..... oeps.

Een whitelist voor exteren bronnen met segmentering is een betere insteek..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.