image

Tienduizenden spamberichten via mailserver van FBI verstuurd

maandag 15 november 2021, 10:09 door Redactie, 6 reacties

Een aanvaller is er dit weekend in geslaagd om via een mailserver van de FBI tienduizenden spamberichten te versturen waarin ontvangers werden gewaarschuwd voor een aanval op hun systemen, zo laat anti-spamorganisatie Spamhaus via Twitter weten. De spamberichten hadden een legitiem e-mailadres van de FBI en waren afkomstig van een ip-adres van de opsporingsdienst. In het bericht stond dat het systeem van de ontvanger was gecompromitteerd

Volgens Spamhaus zijn de berichten verstuurd via het Law Enforcement Enterprise Portal (LEEP). Dit is een "beveiligd platform" waar opsporingsdiensten, inlichtingengroepen en andere justitiële onderdelen informatie kunnen uitwisselen. De aanvaller laat aan it-journalist Brian Krebs weten dat hij een kwetsbaarheid in het portaal gebruikte voor het versturen van de berichten.

Via het LEEP-portaal was het mogelijk voor iedereen om zich aan te melden. Gebruikers moesten een formulier met gegevens invullen waarna er vanaf het e-mailadres eims@ic.fbi.gov een bevestigingsmail werd verstuurd met daarin een eenmalige passcode. Deze passcode stond echter al in de html-code van de pagina. "Wanneer je bevestigingscode opvroeg werd die client-side gegenereerd, en daarna via een POST request naar je gestuurd. Dit POST request bevatte de parameters voor het e-mailonderwerp en inhoud", aldus de aanvaller.

Door middel van een script kon hij deze parameters aanpassen en zo zijn eigen onderwerp en tekst toevoegen en die vervolgens naar tienduizenden e-mailadressen versturen. Deze e-mailadressen waren gescrapet via de ARIN-database, aldus Spamhaus. De American Registry for Internet Numbers (ARIN) is de Regional Internet Registry (RIR) voor Canada en de Verenigde Staten en verantwoordelijk voor het uitgeven van ip-adressen en as-nummers aan internetproviders.

De FBI laat tegenover persbureau Reuters weten dat de server in kwestie na ontdekking van het probleem offline is gehaald, maar heeft geen verdere details gegeven.

Image

Image

Reacties (6)
15-11-2021, 10:48 door Anoniem
Was dus een LEEP-erik.
15-11-2021, 10:49 door Bitje-scheef
Servers staan nu op de blacklist :-)
15-11-2021, 10:51 door Anoniem
Door Bitje-scheef: Servers staan nu op de blacklist :-)
lol
15-11-2021, 12:17 door gbrugman
Super slordig, en waarom was er geen check van de naam van de afzender en het IP-adres waarvan vanaf gemailed werd? Taak van de mailbeheerder en controle door een SOC
15-11-2021, 12:40 door Anoniem
Door Anoniem:
Door Bitje-scheef: Servers staan nu op de blacklist :-)
lol
:-)
15-11-2021, 18:57 door Anoniem
De FBI bevestigt het incident en claimt dat de betrokken hardware na de ontdekking snel offline werd gehaald.

https://www.fbi.gov/news/pressrel/press-releases/fbi-statement-on-incident-involving-fake-emails
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.