image

"Zeven woorden en ik was in deze phishingaanval getrapt"

woensdag 26 juni 2019, 15:15 door Redactie, 25 reacties

Software-engineer Robert Heaton was één van de doelwitten van de recente Firefox-zerodayaanval, maar raakte niet besmet omdat hij Google Chrome gebruikte. Hadden de aanvallers echter gevraagd om Firefox te gebruiken, dan had hij dat gedaan, zo laat hij in een analyse van de aanval weten.

De aanval begon met een e-mail die de ontvanger uitnodigde om als jurylid verschillende projecten voor de Adam Smith Prize te beoordelen. De projecten waren via de meegestuurde link te bekijken. De e-mail was begin juni verstuurd en was afkomstig van een e-mailadres van de Universiteit van Cambridge. De link in het bericht wees naar een domein van de universiteit. Heaton controleerde zowel het adres als het domein.

Hij deed zelfs onderzoek naar de afzender. Voor deze personage hadden de aanvallers een nepprofiel met de naam Gregory Harris op LinkedIn aangemaakt. De foutjes in het profiel vielen Heaton niet direct op en hij opende de link in de e-mail. Hij stuurde de aanvallers zelf verschillende e-mails, die daarop reageerden. Afgelopen vrijdag ontving hij bericht van cryptobeurs Coinbase. Medewerkers van Coinbase waren het oorspronkelijke doelwit, maar de aanvallers hadden de aanval uitgebreid naar personen waarvan ze dachten dat die zich met cryptovaluta bezighielden.

De website van de aanvallers maakte gebruik van twee zerodaylekken in Firefox. Via de kwetsbaarheden werden er bij Mac-gebruikers twee backdoors op het systeem geïnstalleerd. Aangezien Heaton Chrome gebruikte raakte hij niet besmet. Als de kwaadaardige pagina had gevraagd om die via Firefox te bekijken, had hij dit gedaan. "Na een paar keer heen en weer mailen had ik waarschijnlijk ook macro's ingeschakeld voor Office-documenten die Gregory Harris me stuurde."

De software-engineer vindt niet hij onvoorzichtig is geweest door het klikken op de link in de phishingmail. "Zerodays in browsers die worden misbruikt via een subdomein van cam.ac.uk bevinden zich niet in mijn persoonlijke dreigingsmodel en ik denk dat dit verstandig is", zo laat hij weten. Toch erkent Heaton dat hij niet kritisch nadacht en een vals gevoel van veiligheid kreeg door het @cam.ac.uk e-mailadres en zijn eigen ego dat hij als jurylid was uitgenodigd.

Image

Reacties (25)
26-06-2019, 15:39 door [Account Verwijderd]
Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. Als het goed is, ben je op de hoogte van je eigen leven. Alles wat afwijkt, is fout. Buiten dat je weet dat niemand om je wachtwoord vraagt enzo... Hoe kan het dan toch zo zijn dat er steeds weer klik_sKaapies zijn die het mogelijk maken, dat dit soort berichten op security.nl verschijnen?

#klikVee #noBrainers #InternetRijbewijs
26-06-2019, 15:47 door Anoniem
Toch erkent Heaton dat hij niet kritisch nadacht en een vals gevoel van veiligheid kreeg door het @cam.ac.uk e-mailadres en zijn eigen ego dat hij als jurylid was uitgenodigd.
Met andere woorden:
halve waarheden zijn de grootste leugens (@cam.ac.uk had moeten zijn @www.cam.ac.uk),
en trots zijn op jezelf is een security risico!
26-06-2019, 15:56 door Briolet - Bijgewerkt: 26-06-2019, 16:06
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. …

Als je dat wit voorkomen, moet je geen mail gebruiken. In dit voorbeeld kwam de mail vanuit een vertrouwd domein. En ook de link wees naar een vertrouwd domein.

Een random phshing mail is redelijk te spotten. Maar een targeted mail is veel lastiger. Hier hebben de daders het voor elkaar gekregen om het domein van de universiteit naar hun eigen website te laten sturen. (people.ds.cam.ac.uk).

Of ze hebben de dns van de universiteit gehacked, of de universiteit laat het toe om zelf een adres xxx.ds.cam.ac.uk aan de maken die naar een eigen IP wijst (Zoals vaak bij ddns systemen gebeurd)
Of de universiteit bied medewerkers/studenten de mogelijkheid een eigen webpaginas op te zetten voor projecten.

Edit: Nu ik er over nadenk is het laatste het meest waarschijnlijk. Op dit moment wijst die url ook naar een IP adres dat van die universiteit is.

Door Rexodus: #klikVee
Hier heb je het over jezelf, want uit je reactie blijkt dat je al reageert zonder echt het verhaal gelezen te hebben.
26-06-2019, 16:47 door hstraat
Speerphishing gaat echt heel ver, ze zoeken eerst alles uit en daarna krijg je pas de phishingmail. Dit is niet vergelijkbaar met de random phishingmails die verstuurd worden. Wat ook steeds vaker gebeurd is de telefoonscam dat iemand rechtstreeks opgebeld wordt en ze echt al heel veel weten tot aan welk hotel je geboekt hebt voor welk event. Kan me goed voorstellen dat als ze ook nog adequaat reageren zonder fouten dat het nog geloofwaardiger wordt.
26-06-2019, 17:02 door Anoniem
"We need your assistance in evaluating several projects for Adam Smith Prize"

Slecht taalgebruik als dit is waarom veel mensen hier niet in zullen trappen.
26-06-2019, 17:36 door [Account Verwijderd]
Door Rexodus: Ik snap niet... etc.
Neen? Dan rammelt je 'snapperd'.
Want zelfs een dumbo snapt hoe fishing telkens weer succescol blijkt te zijn. Nooit van toegepaste pragmatische gedragsmanipulatie gehoord, zeker?

Nog dommer etaleer je jezelf - echt treurig - door je pretentieuze quasi superintelligente minachting van slachtoffers van fishing {klikvee) door jezelf slimmer voor te doen dan de evenredige sluwheid van blackhats en hun afzetmarkt.

Hoe dom kan een surrogaat slimmerik zich hier toch etaleren denk ik dan met mijn ooit gemeten IQ van 99.
26-06-2019, 18:39 door Anoniem
Door hstraat: Speerphishing gaat echt heel ver, ze zoeken eerst alles uit en daarna krijg je pas de phishingmail. Dit is niet vergelijkbaar met de random phishingmails die verstuurd worden. Wat ook steeds vaker gebeurd is de telefoonscam dat iemand rechtstreeks opgebeld wordt en ze echt al heel veel weten tot aan welk hotel je geboekt hebt voor welk event. Kan me goed voorstellen dat als ze ook nog adequaat reageren zonder fouten dat het nog geloofwaardiger wordt.
Feitelijk zeg je dat je privacy bewaren beschermend werkt.... Wauw...
26-06-2019, 19:37 door SPer
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. Als het goed is, ben je op de hoogte van je eigen leven. Alles wat afwijkt, is fout. Buiten dat je weet dat niemand om je wachtwoord vraagt enzo... Hoe kan het dan toch zo zijn dat er steeds weer klik_sKaapies zijn die het mogelijk maken, dat dit soort berichten op security.nl verschijnen?

#klikVee #noBrainers #InternetRijbewijs

nou het is in ieder geval gebruikelijk om Phishing met Ph te schrijven......
26-06-2019, 19:42 door SPer
Ik persoonlijk vind dat dit soort openbaringen, voor mensen die toegang hebben op dit bericht en ook wel eens een linkje aanklikken in ieder geval wel een geruststelling zelf software techneuten trappen er dus wel eens in.

Sommige reacties, zonder verder namen te noemen, vind ik betrekkelijk arrogant en pretentious.
26-06-2019, 20:33 door Anoniem
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. Als het goed is, ben je op de hoogte van je eigen leven. Alles wat afwijkt, is fout. Buiten dat je weet dat niemand om je wachtwoord vraagt enzo... Hoe kan het dan toch zo zijn dat er steeds weer klik_sKaapies zijn die het mogelijk maken, dat dit soort berichten op security.nl verschijnen?

#klikVee #noBrainers #InternetRijbewijs

voor de hoogmoed => de val. je tijd komt nog wel.
26-06-2019, 20:46 door Anoniem
Door Briolet:
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. …

Als je dat wit voorkomen, moet je geen mail gebruiken. In dit voorbeeld kwam de mail vanuit een vertrouwd domein. En ook de link wees naar een vertrouwd domein.


Dan gebruik de spear-phisher gewoon whatsapp, sms, fax, slack, imessage, irc, desnoods icq of komt hij aan de deur. Nee, een communicatiemiddel uitsluiten heeft echt geen nut als je target bent.
26-06-2019, 20:51 door Anoniem
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. Als het goed is, ben je op de hoogte van je eigen leven.

En een gedeelte van je leven staat online. Gaat de aanvaller precies daarop in. "U winkelt altijd bij de Plus in Zierikzee", "wij kennen elkaar van het Haga Lyceum", "uw moeder heb ik goed gekend.... (nadat net haar overleiden in de krant staat)"., "u bent toch de papa van Rick?"....

Of nog erger: de aanvaller wacht gewoon tot jij hem aanspreekt. Zijn ze in Boedapest goed in. Loop je zelf een cafe in om wat te drinken, blijkt op de muur van dat cafe een prijslijst te hangen van 30 euro per drankje. Nou, probeer maar eens de politie te bellen en uit te leggen dat jij niet had opgelet (en nee: dat zijn normale cafe's, dat is juist het ergste).

Als je denkt dat je er nooit intrapt: dan ben jij juist degene die er als eerste zal intrappen.
26-06-2019, 21:32 door Anoniem
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. Als het goed is, ben je op de hoogte van je eigen leven. Alles wat afwijkt, is fout. Buiten dat je weet dat niemand om je wachtwoord vraagt enzo... Hoe kan het dan toch zo zijn dat er steeds weer klik_sKaapies zijn die het mogelijk maken, dat dit soort berichten op security.nl verschijnen?

#klikVee #noBrainers #InternetRijbewijs

Het was een geldig email adres, domein, linkedin profiel en de man werd nog eens zo goed als persoonlijk aangesproken met iets dat hem persoonlijk bezighoudt. Ik zou deze link hoogstwaarschijnlijk zelf ook hebben bekeken. Of ik Firefox of Macro's zou gebruiken is natuurlijk een andere zaak.

Door Anoniem: "We need your assistance in evaluating several projects for Adam Smith Prize"

Slecht taalgebruik als dit is waarom veel mensen hier niet in zullen trappen.

Mijn collega schrijft dagelijks zo'n fouten in mails naar klanten.
27-06-2019, 09:20 door Anoniem
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. Als het goed is, ben je op de hoogte van je eigen leven. Alles wat afwijkt, is fout. Buiten dat je weet dat niemand om je wachtwoord vraagt enzo... Hoe kan het dan toch zo zijn dat er steeds weer klik_sKaapies zijn die het mogelijk maken, dat dit soort berichten op security.nl verschijnen?

#klikVee #noBrainers #InternetRijbewijs

Ach, totdat jij aan de beurt bent. Ga dan niet klagen dat het echt niet had kunnen weten. Want ook dan zijn er mensen zoals jij die dat toch niet geloven.
27-06-2019, 11:57 door Anoniem
En ik vraag mij af waarom er nog steeds mensen klikken op een LINK in een E-MAIL.
27-06-2019, 12:20 door Anoniem
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. Als het goed is, ben je op de hoogte van je eigen leven. Alles wat afwijkt, is fout. Buiten dat je weet dat niemand om je wachtwoord vraagt enzo... Hoe kan het dan toch zo zijn dat er steeds weer klik_sKaapies zijn die het mogelijk maken, dat dit soort berichten op security.nl verschijnen?

#klikVee #noBrainers #InternetRijbewijs

Het hangt een beetje af van wat je doet, maar als je bijvoorbeeld onderzoeker of ontwerper bent word je regelmatig vanuit het niets benaderd met legitieme verzoeken. Dat alles wat afwijkt fout is kan daarmee het putje in en ze negeren betekent unieke kansen laten liggen.

Nog even los van dat je nu zelf de hubris vertoont die zoveel mensen de das om doet. Tegen een goed opgezette gerichte campagne doe je niets. Vroeg of laat hebben ze je te pakken.
27-06-2019, 14:18 door [Account Verwijderd]
Door Anoniem: En ik vraag mij af waarom er nog steeds mensen klikken op een LINK in een E-MAIL.

Omdat zij er met overtuigende overredingskracht toe verleid worden. Je hoeft jezelf dat helemaal niet af te vragen, want het gebeurt en misschien overkomt het je net als iedereen - potentieel slachtoffer of niet - ook een keer. Of denk je dat er bepaalde mensen vrijgesteld zijn van het overkomen van een verkeersongeval. Je begeeft jezelf op de digitale snelweg.... genoeg vergelijkingscriteria me dunkt of je denkt te star, te bekrompen.

In elk geval toon je het fatsoen om niet als sommigen aanmatigend, ja zelfs minachtend te reageren op mensen die al het slachtoffer werden van fishing.... en dat siert je.
27-06-2019, 14:21 door Anoniem
Door Anoniem: En ik vraag mij af waarom er nog steeds mensen klikken op een LINK in een E-MAIL.

Hoe doe jij dat dan? Elke URL zelf intikken? En hoe weet je dan wel of je bij een te vertrouwen webpagina uitkomt?
Als ik een mail krijg over een conferentie, met daarbij een link naar de agenda, dan klik ik daarop (nadat ik bekeken heb of die link er redelijk uitziet).
Of ik ga naar de pagina van de conferentie zelf, maar ook dan loop ik nog risico want hoe weet ik zeker of die pagina geen scam is?
En hoe geef ik me op voor die conferentie, als ik geen formulieren op internet in mag vullen omdat dat gevaarlijk is?

Als je niks kan vertrouwen dan kun je de hele boel er wel uitgooien en in een hutje op de hei gaan zitten.
Als jij op deze website iets post, hoe weet je dan of je door ergens op te klikken geen problemen binnenhaalt?

In plaats van "hoe dom kun je zijn" hebben we meer aan uitleg over hoe jij al die valkuilen vermijdt zonder alles per snailmail te doen.
27-06-2019, 14:25 door Anoniem
Door Anoniem:
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen. Als het goed is, ben je op de hoogte van je eigen leven.

En een gedeelte van je leven staat online. Gaat de aanvaller precies daarop in. "U winkelt altijd bij de Plus in Zierikzee", "wij kennen elkaar van het Haga Lyceum", "uw moeder heb ik goed gekend.... (nadat net haar overleiden in de krant staat)"., "u bent toch de papa van Rick?"....

Of nog erger: de aanvaller wacht gewoon tot jij hem aanspreekt. Zijn ze in Boedapest goed in. Loop je zelf een cafe in om wat te drinken, blijkt op de muur van dat cafe een prijslijst te hangen van 30 euro per drankje. Nou, probeer maar eens de politie te bellen en uit te leggen dat jij niet had opgelet (en nee: dat zijn normale cafe's, dat is juist het ergste).

Als je denkt dat je er nooit intrapt: dan ben jij juist degene die er als eerste zal intrappen.

Inderdaad. Een overmaat aan zelfvertrouwen bij het slachtoffer maakt het lekker makkelijk voor de oplichter.
(denk maar aan de Facebook klassieker "90% van de mensen hebben dit fout, weet jij het antwoord?" waar iedereen op klikt in de overtuiging slimmer te zijn dan die 90% - terwijl dat natuurlijk complete BS is maar wel prima clickbait).

En geen informatie over jezelf verspreiden als je bedrijfsmatig afhankelijk bent van je bekendheid (omdat je spullen, software of kennis verkoopt voor je brood) is ook niet zo'n geweldige strategie.
27-06-2019, 22:34 door Anoniem
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen.

Mmm ik snap niet dat mensen zo vol van zichzelf kunnen zijn dat ze denken dat ze 24 uur per dag 7, dagen per week, 365 dagen per jaar zo oplettend denken te zijn dat ze in staat zijn om altijd binnen de lijntjes te blijven en alles goed denken te doen.

Beetje als de mensen die zeggen: Tja je hebt een boete voor je rijgedrag, die heb ik nooit, want ik rijd nooit te hard. Om vervolgens met 60km/u de bebouwde kom in te rijden (overtreding), langzaam af te remmen maar toch het woonerf op te rijden met 20 (overtreding) zonder hun richtingaanwijzer te gebruiken, want dicht bij huis (overtreding), nog even op de rotonde die fietser niet voor te laten, want die is toch nog een eind weg (overtreding), en vervolgens hun auto over de lijnen van het parkeervlak te zetten (overtreding)... Dit alles omdat ze er even met hun hoofd niet bij waren, want moeder de vrouw had net verteld dat 1 van de kinderen doodziek op bed ligt te kosten.

m.a.w. je weet niet hoe mensen handelen en waarom. 1 keer in een onbewaakt ogenblik, om wat voor reden dan ook ff een verkeerde link aanklikken is voldoende. Je kunt niet zeggen dat dat je nooit is gebeurd, en nooit zal gebeuren. Dat je dat niet snapt is een beetje egotripperij.
28-06-2019, 11:59 door Bitje-scheef
Door hstraat: Speerphishing gaat echt heel ver, ze zoeken eerst alles uit en daarna krijg je pas de phishingmail. Dit is niet vergelijkbaar met de random phishingmails die verstuurd worden. Wat ook steeds vaker gebeurd is de telefoonscam dat iemand rechtstreeks opgebeld wordt en ze echt al heel veel weten tot aan welk hotel je geboekt hebt voor welk event. Kan me goed voorstellen dat als ze ook nog adequaat reageren zonder fouten dat het nog geloofwaardiger wordt.

Inderdaad, heb met eigen ogen gezien hoe goed dit kan werken. Ik heb veel voorbij zien komen en denk 90-95% is redelijk makkelijk te onderscheiden. Maar ik zie ook steeds betere voorbij komen, 4-9% (rap groeiende) en 1% is uitzonderlijk goed (speerphishing - duidelijk aantoonbaar).


-- Deze 3 zaken in orde maken ---
1- Beveiliging op orde, zo goed als mogelijk (bepaalde bijlagen uitschakelen)
2- Detectie verbeteren (anti-virus, spamfiler multi-level, url-filter)
3- Medewerkers trainen en instrueren.

Zorg voor support vanuit het management, inclusief het management, management is vaak het target vanwege de betaalbevoegdheid. Maar het management wil nog wel eens zelf buiten de verzwaarde security blijven.
28-06-2019, 13:49 door Anoniem
Door SPer: Ik persoonlijk vind dat dit soort openbaringen, voor mensen die toegang hebben op dit bericht en ook wel eens een linkje aanklikken in ieder geval wel een geruststelling zelf software techneuten trappen er dus wel eens in.

Iedereen kan er intrappen. Ik ken het verhaal van iemand die regelmatig zelf phishing testen uitvoerde binnen zijn organisatie. Een keer had hij op vrijdag een test opgesteld en klaargezet voor maandagmorgen. Die maandag kwam hij op het werk en trapte hij er bijna zelf in. Het was een slecht weekend geweest. Hij was wat gefrustreerd. Er lag veel werk op hem te wachten. En dan nog dat vermalemijde mailtje.... Onee, phishing.

Peter
29-06-2019, 00:58 door Anoniem
Door Rexodus: Ik snap niet dat mensen ook maar in 1 fishing bericht trappen
Ha! Een ideaal slachtoffer voor phishingmail gevonden.
30-06-2019, 11:18 door Anoniem
Door Anoniem: En ik vraag mij af waarom er nog steeds mensen klikken op een LINK in een E-MAIL.

Ik vraag me af waarom LINKS in mail nog steeds klikbaar zijn.
01-07-2019, 13:41 door Anoniem
Door Anoniem:
Toch erkent Heaton dat hij niet kritisch nadacht en een vals gevoel van veiligheid kreeg door het @cam.ac.uk e-mailadres en zijn eigen ego dat hij als jurylid was uitgenodigd.
Met andere woorden:
halve waarheden zijn de grootste leugens (@cam.ac.uk had moeten zijn @www.cam.ac.uk),
en trots zijn op jezelf is een security risico!
Ja en fijn dat jij dan weer halve waarheden over domeinen schrijft. Want met en zonder www achter de @ blijft nog altijd hetzelfde cam.ac.ukl domein en www wordt normaliter nooit in een email adres gebruikt. ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.