Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Opmerkelijke phishing/vishing
14-07-2023, 16:37 door Erik van Straten, 7 reacties
'iCloud-opslag vol'
In maart was er een golf aan phishing-mails over dat jouw iCloud opslag vol zou zitten (voorbeeld: [1]). Ook waren er nepmeldingen dat een wachtwoordreset nodig zou zijn, of dat je foto's kwijt zou kunnen raken door het (op 26 juli a.s.) door Apple uitzetten van "Mijn fotostream" ([2]). Die laatste bangmakerij zou wel eens toe kunnen nemen nu die datum nadert.
De Duitse Politie in Niedersachsen waarschuwt ([3], bron: [4]) nu voor een nieuwe golf aan phishing-berichten met links naar nepwebsites (die sterk op icloud.com kunnen lijken), waarop je extra opslagruimte zou kunnen kopen. Trap er niet in, want naast dat dan jouw Apple ID (je iCloud-account) wordt overgenomen (met vaak enorme impact) wordt ook je credit-card misbruikt (geld krijg je wellicht terug, maar een geblokkeerde creditcard kort voor je vakantie kan vervelend zijn).
itsme-phishing: e-mailadres safeonweb.be misbruikt?
Bij het zoeken naar voorbeelden van iCloud-phishing vond ik toevallig een pagina over een heel ander onderwerp: "Opgepast voor bericht dat van SafeOnWeb lijkt te komen", betreffende 'Tijdelijke blokkade op uw eID' (itsme) [5]. SafeOnWeb.be lijkt vergelijkbaar met de Nederlandse Fraudehelpdesk.nl.
Opmerkelijk daarbij is de getoonde afzender:
Dat is opvallend, want SPF en DMARC staan streng ingesteld voor deze site. Als mensen die mail ontvangen, checkt hun mail-provider dus niet goed op die protocollen (outlook.com?).
Overigens resolvde de phishing-website-domeinnaam gisteren al niet meer. Wel heeft Let's Encrypt er een certificaat voor afgegeven, maar dat exemplaar is nog zonder CT (Certificate Transparency) signature [6].
Geraffineerde Android vishing-operatie
ThreatFabric schreef vorige week ([7], bron: [8]) "Letscall – new sophisticated Vishing toolset".
Hierbij wordt de user verleid om een kwaadaardige app te installeren die aanvullende malware nalaadt. Door de gebruiker over te halen om rechten voor de Android "Accessibility service" toe te staan, neemt de malware effectief je hele toestel over (het is een PEBSAU - Problem Exists Between Smartphone And User - een Attacker in the Middle dus). Die software kan namelijk "boven" apps laten zien wat het wil en desgewenst alle invoer afluisteren, wijzigen en/of omleiden naar een andere app.
Er wordt een lokale webserver geïnstalleerd om de gebruiker verder te misleiden. Onder de zeer uitgebreide functionaliteit zit een nep-telefoon app waarnee je zogenaamd met je bank kunt bellen, waarbij je vervolgens lokaal geïnstalleerde MP3'tjes met "dialtones" en gesproken keuzemenu's te horen kunt krijgen. Affijn, ik vond dit een lezenswaardig artikel.
Overigens zou deze groep cybercriminelen momenteel nog in zuid-oost Azië opereren, maar gezien de professionele opzet zou het de auteurs van ThreatFabric niet verbazen als deze bende hun "product" als MaaS (Malware as a Service) zal aanbieden - waarna dit ook in westerse landen tot slachtoffers zou kunnen leiden.
Sowieso verwacht ik steeds meer van dit soort aanvallen, naarmate meer westerse overheden burgers overhalen om "online authenticatie wallets" (zoals itsme, zie vorige item) in hun smartphones te zetten, uit de Conclusions van ThreatFabric:
Referenties
[1] https://www.macfreak.nl/vragen-algemeen/uw-icloud-is-vol-valse-e-mail/
[2] https://support.apple.com/nl-nl/HT201317
[3] https://www.polizei-praevention.de/aktuelles/phishing-und-abofallen-mit-gefaelschten-icloud-mails.html
[4] https://www.golem.de/news/polizei-warnt-phishing-mails-locken-mit-guenstigem-icloud-upgrade-2307-175806.html
[5] https://www.safeonweb.be/nl/actueel/opgepast-voor-bericht-dat-van-safeonweb-lijkt-te-komen
[6] https://crt.sh/?q=urbueniubeddm.com
[7] https://www.threatfabric.com/blogs/letscall-new-sophisticated-vishing-toolset
[8] https://www.heise.de/news/Vishing-Betrueger-arbeiten-mit-raffinierter-Voice-Phishing-Masche-9212374.html
In maart was er een golf aan phishing-mails over dat jouw iCloud opslag vol zou zitten (voorbeeld: [1]). Ook waren er nepmeldingen dat een wachtwoordreset nodig zou zijn, of dat je foto's kwijt zou kunnen raken door het (op 26 juli a.s.) door Apple uitzetten van "Mijn fotostream" ([2]). Die laatste bangmakerij zou wel eens toe kunnen nemen nu die datum nadert.
De Duitse Politie in Niedersachsen waarschuwt ([3], bron: [4]) nu voor een nieuwe golf aan phishing-berichten met links naar nepwebsites (die sterk op icloud.com kunnen lijken), waarop je extra opslagruimte zou kunnen kopen. Trap er niet in, want naast dat dan jouw Apple ID (je iCloud-account) wordt overgenomen (met vaak enorme impact) wordt ook je credit-card misbruikt (geld krijg je wellicht terug, maar een geblokkeerde creditcard kort voor je vakantie kan vervelend zijn).
itsme-phishing: e-mailadres safeonweb.be misbruikt?
Bij het zoeken naar voorbeelden van iCloud-phishing vond ik toevallig een pagina over een heel ander onderwerp: "Opgepast voor bericht dat van SafeOnWeb lijkt te komen", betreffende 'Tijdelijke blokkade op uw eID' (itsme) [5]. SafeOnWeb.be lijkt vergelijkbaar met de Nederlandse Fraudehelpdesk.nl.
Opmerkelijk daarbij is de getoonde afzender:
"Noreply" <mailnoreply@safeonweb.be>
Overigens resolvde de phishing-website-domeinnaam gisteren al niet meer. Wel heeft Let's Encrypt er een certificaat voor afgegeven, maar dat exemplaar is nog zonder CT (Certificate Transparency) signature [6].
Geraffineerde Android vishing-operatie
ThreatFabric schreef vorige week ([7], bron: [8]) "Letscall – new sophisticated Vishing toolset".
Hierbij wordt de user verleid om een kwaadaardige app te installeren die aanvullende malware nalaadt. Door de gebruiker over te halen om rechten voor de Android "Accessibility service" toe te staan, neemt de malware effectief je hele toestel over (het is een PEBSAU - Problem Exists Between Smartphone And User - een Attacker in the Middle dus). Die software kan namelijk "boven" apps laten zien wat het wil en desgewenst alle invoer afluisteren, wijzigen en/of omleiden naar een andere app.
Er wordt een lokale webserver geïnstalleerd om de gebruiker verder te misleiden. Onder de zeer uitgebreide functionaliteit zit een nep-telefoon app waarnee je zogenaamd met je bank kunt bellen, waarbij je vervolgens lokaal geïnstalleerde MP3'tjes met "dialtones" en gesproken keuzemenu's te horen kunt krijgen. Affijn, ik vond dit een lezenswaardig artikel.
Overigens zou deze groep cybercriminelen momenteel nog in zuid-oost Azië opereren, maar gezien de professionele opzet zou het de auteurs van ThreatFabric niet verbazen als deze bende hun "product" als MaaS (Malware as a Service) zal aanbieden - waarna dit ook in westerse landen tot slachtoffers zou kunnen leiden.
Sowieso verwacht ik steeds meer van dit soort aanvallen, naarmate meer westerse overheden burgers overhalen om "online authenticatie wallets" (zoals itsme, zie vorige item) in hun smartphones te zetten, uit de Conclusions van ThreatFabric:
Resident registration number (or ID) theft is able to open many doors for cybercriminals, and we see this attack vector only increase with the adoption of more and more electronic ID solutions by governments and both private and public institutions.
Wordt (ongetwijfeld) vervolgd...Referenties
[1] https://www.macfreak.nl/vragen-algemeen/uw-icloud-is-vol-valse-e-mail/
[2] https://support.apple.com/nl-nl/HT201317
[3] https://www.polizei-praevention.de/aktuelles/phishing-und-abofallen-mit-gefaelschten-icloud-mails.html
[4] https://www.golem.de/news/polizei-warnt-phishing-mails-locken-mit-guenstigem-icloud-upgrade-2307-175806.html
[5] https://www.safeonweb.be/nl/actueel/opgepast-voor-bericht-dat-van-safeonweb-lijkt-te-komen
[6] https://crt.sh/?q=urbueniubeddm.com
[7] https://www.threatfabric.com/blogs/letscall-new-sophisticated-vishing-toolset
[8] https://www.heise.de/news/Vishing-Betrueger-arbeiten-mit-raffinierter-Voice-Phishing-Masche-9212374.html
Reacties (7)
14-07-2023, 17:50 door
Anoniem
Identity Theft, je data versleutelen, je rekeningen leegtrekken, je device misbruiken als een zombie zodat de autoriteiten bij jouw deur aankloppen, noem maar op, het is inmiddels een miljardenindustrie geworden, met hoge winstmarges voor weinig inspanning en een zeer lage pakkans met hooguit fopstraffen. Ga er dus maar van uit dat de aanvals- en misbruiktechnieken alleen maar in omvang en geraffineerdheid zullen toenemen. Helemaal als het gros EU ID, waar zo'n beetje je hele hebben en houwen aan vast moet gaan zitten op den duur, gaat installeren (in plaats van een apart device dat enkel en alleen voor dat doel gebruikt wordt, en in een skim vrij hoesje wordt gestoken, of beter nog, helemaal niet; laat het maar een grote mislukking worden; mede gezien de reputatie die overheden hebben waar het ICT projecten betreft), dan wordt dat een heel aantrekkelijk doelwit met zeer lucratieve mogelijkheden.
Zoals te doen gebruikelijk zullen niet diegene grondig worden aangepakt die al die ellende veroorzaken (moeilijk, moeilijk, ja maar), maar zij (de rest dus) die er last van (kunnen) hebben wordt aangeraden (voortaan) beter op te letten, niet zo moeilijk te doen en het er vooral niet over hebben.
Zoals te doen gebruikelijk zullen niet diegene grondig worden aangepakt die al die ellende veroorzaken (moeilijk, moeilijk, ja maar), maar zij (de rest dus) die er last van (kunnen) hebben wordt aangeraden (voortaan) beter op te letten, niet zo moeilijk te doen en het er vooral niet over hebben.
15-07-2023, 02:41 door
Anoniem
Dat soort emailtjes knikker ik ongelezen weg. Nu krijg ik (ook) emailtjes van Google dat mijn opslag vol is. Gaan ook ongelezen linea recta gelijk naar de eeuwige bitvelden.
15-07-2023, 10:38 door
Anoniem
Dit soort berichten met inhoud zie ik graag op deze site en dat is ook de reden dat ik hier kom, dank je wel.
16-07-2023, 11:25 door
Anoniem
Goed bezig Erik
20-07-2023, 14:06 door
Erik van Straten
Sinds 17 juli waarschuwt [3] (bron: [9]) de Duitse Politie in Niedersachsen ook voor phishing-mails die door Google te lijken zijn verzonden, met daarin de melding dat jouw opslag bij Google (Drive) vol zou zitten. Je zou de limiet van 15GB gratis naar 50GB kunnen verhogen - waarbij je wel even met jouw creditcard jouw identiteit moet aantonen. Zie onderaan die pagina voor een screenshot met een voorbeeld van hoe zo'n e-mail eruit kan zien (Duitstalig in dit geval).
Ik zie nog geen Google-nepmails gemeld worden in https://www.fraudehelpdesk.nl/actueel/valse-emails/, maar een gewaarschuwd mens telt voor twee.
Als je een Google-account hebt: door in https://www.google.com/intl/nl/drive/ op "Naar Drive" te drukken (en, zo nodig, in te loggen) en linksboven op het "hamburgermenu" (de 3 horizontale streepjes boven elkaar) te drukken, zie je onderaan het menu hoeveel opslagruimte je in gebruik hebt.
In https://support.google.com/accounts/answer/6294825?hl=nl vind je hulp mocht je denken of vermoeden dat jouw Google-account gehacked is.
[3] https://www.polizei-praevention.de/aktuelles/phishing-und-abofallen-mit-gefaelschten-icloud-mails.html
[9] https://www.heise.de/news/LKA-Niedersachsen-warnt-vor-Phishing-und-Abofallen-mit-iCloud-und-Google-Mails-9220688.html
P.S. ik gebruik "[3]" opnieuw omdat ik dezelfde link bovenaan deze pagina ook al genoemd heb (en ik ga verder met "[9]" omdat ik die nog niet gebruikt heb in deze pagina).
Ik zie nog geen Google-nepmails gemeld worden in https://www.fraudehelpdesk.nl/actueel/valse-emails/, maar een gewaarschuwd mens telt voor twee.
Als je een Google-account hebt: door in https://www.google.com/intl/nl/drive/ op "Naar Drive" te drukken (en, zo nodig, in te loggen) en linksboven op het "hamburgermenu" (de 3 horizontale streepjes boven elkaar) te drukken, zie je onderaan het menu hoeveel opslagruimte je in gebruik hebt.
In https://support.google.com/accounts/answer/6294825?hl=nl vind je hulp mocht je denken of vermoeden dat jouw Google-account gehacked is.
[3] https://www.polizei-praevention.de/aktuelles/phishing-und-abofallen-mit-gefaelschten-icloud-mails.html
[9] https://www.heise.de/news/LKA-Niedersachsen-warnt-vor-Phishing-und-Abofallen-mit-iCloud-und-Google-Mails-9220688.html
P.S. ik gebruik "[3]" opnieuw omdat ik dezelfde link bovenaan deze pagina ook al genoemd heb (en ik ga verder met "[9]" omdat ik die nog niet gebruikt heb in deze pagina).
20-07-2023, 16:30 door
spatieman
ondertussen wordt er massaal CSS toegepast ,maar dit wordt overgeslagen, want dat valt niet in het regelement
20-07-2023, 20:23 door
Anoniem
Door spatieman: ondertussen wordt er massaal CSS toegepast ,maar dit wordt overgeslagen, want dat valt niet in het regelement
Ja, iedereen doel al jaren Cascading Style Sheets op een website.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.