Onderzoeker demonstreert social engineering-aanval via Windows File Explorer
Een beveiligingsonderzoeker heeft een social engineering-aanval gedemonstreerd waarbij gebruikers kunnen worden verleid om via de File Explorer van Windows een PowerShell-commando uit te voeren. Een aanvaller zou op deze manier bijvoorbeeld malware op het systeem kunnen installeren. De gedemonstreerde aanval is een variant van de "ClickFix" aanval die aanvallers al enige tijd toepassen.
Bij ClickFix-aanvallen krijgen gebruikers een melding op een website te zien dat ze bijvoorbeeld een "captcha" moeten oplossen. De betreffende website kopieert automatisch een PowerShell-commando naar het Windows Clipboard van de gebruiker. De melding laat de gebruiker weten dat hij verschillende toetsencombinaties moet uitvoeren gevolgd door enter. In werkelijkheid wordt via de toetsencombinaties PowerShell gestart en het eerder gekopieerde commando geplakt en uitgevoerd. Hierdoor kan het systeem met malware besmet raken.
Een onderzoeker met het alias "mr.d0x" ontwikkelde een alternatieve versie van deze aanval waarbij het PowerShell-commando via de File Explorer van Windows wordt uitgevoerd. De adresbalk van File Explorer kan namelijk ook commando's uitvoeren. Voor de aanval bedacht de onderzoeker een pagina die zogenaamd een bestand zegt aan te bieden en is voorzien van een knop waarmee File Explorer wordt gestart. Hiervoor wordt gebruik gemaakt van de uploadfunctionaliteit van de browser.
Zodra File Explorer is gestart kan de adresbalk via CTRL+L of ALT+D worden gehighlight. De pagina instrueert gebruikers om een zogenaamd file path te kopiëren en daarna in de adresbalk te plakken. De gebruiker ziet in de adresbalk alleen het net gekopieerde file path, maar niet dat daarvoor nog een PowerShell-commando staat dat wordt uitgevoerd. "Met de huidige toename van ClickFix-aanvallen is het niet lastig voor te stellen dat deze techniek zal worden gebruikt om gebruikers nietsvermoedend malafide commando's te laten uitvoeren", aldus de onderzoeker.
They all exploit user behavior around unawareness of system features.
This either means that:
A. The user is undertrained for handling the system
B. The system's interface is too complex or unclear for the user.
Solutions are:
1. Train the user
2. Improve UX, remove "features" that can be exploited trough user-error.
Neither of these solutions are happening, which is why this exploitation persists.
Mensen op leeftijd snappen het gewoon niet meer, hun hersenen laten ze in de steek, ze zijn veel makkelijker manipuleerbaar en doen steeds meer 'domme' dingen. En dan moet je erbij bedenken dat de meeste mensen voorheen al helemaal niets van techniek snapten.
Als voorbeeld, je wil niet weten hoe vaak ik de vraag krijg over deze oplichterstruc:
https://www.fraudehelpdesk.nl/alert/opnieuw-afpersmails-bezoek-pornosite/
Het is gewoon een simpel spambericht. En dat zijn dan ook nog eens de mensen die durfen te vragen of het echt is, de meesten durven dat niet eens. Dus je kan ook wel nagaan wat er gebeurd als ze een echte oplichter tegenkomen.
Het probleem is dat we naar een samenleving moeten werken waar de sterken de zwakken beschermen. Maar de realiteit is precies omgekeerd, jongeren zien dat mensen opgelicht worden en vinden dat 'normaal'. Het is de fgame:
https://nos.nl/artikel/2456409-dit-zijn-de-jongeren-achter-online-oplichting-het-is-een-soort-hype
Anyway, kijk goed uit je voor ouderen en medemens. Van onze overheid hoef je niets te verwachten, die staan liever met de banken.
Mensen op leeftijd snappen het gewoon niet meer, hun hersenen laten ze in de steek, ze zijn veel makkelijker manipuleerbaar en doen steeds meer 'domme' dingen.
Dus pas op met al te makkelijke generalisaties, je kan mensen als kwetsbaar beschouwen hierin die het helemaal niet zijn en mensen voor zelfredzaam aanzien die er juist schokkend makkelijk instinken. Hoge leeftijd is gemiddeld genomen zeker een factor, maar reduceer je kijk erop niet tot dat gemiddelde, de werkelijkheid is aanzienlijk diverser. Kijk altijd wie je tegenover je hebt en wat die overziet.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?