Nieuws
image

Grootschalige aanval met valse KLM e-tickets

maandag 24 september 2012, 16:45 door Redactie, 7 reacties

Aanvallers hebben vandaag bijna een miljoen e-mails verstuurd die van KLM afkomstig lijken, maar in werkelijkheid malware bevatten. De e-mails hebben als onderwerp ''KLM e-Ticket' en zien er als een legitiem e-ticket uit, maar bevatten geen vluchtgegevens. Daarvoor wordt naar de meegestuurde bijlage gewezen, die malware bevat.

Beveiligingsbedrijf Websense stelt dat het vaker voorkomt dat valse e-mails vanuit luchtvaartmaatschappijen worden verstuurd, maar dat het hier om een grootschalige campagne gaat, waar al meer dan 850.000 berichten zijn waargenomen. De berichten bevatten unieke waarden in de passagier- en ontvangstvelden, gevolgd door het bestand 'KLM-e-Ticket_getal.zip'.

Backdoor
Dit archief bevat een bestand genaamd 'KLM-e-Ticket.pdf.exe' en bevat een backdoor die aanvallers via Telnet op poort 8000 toegang tot de besmette computer geeft. In tegenstelling tot andere aanvallen waar een dubbele extensie wordt gebruikt, beschikt de bijlage in dit geval niet over een PDF of Adobe Reader icoon.

"Hoewel deze scam niet specifiek op KLM-klanten is gericht, kunnen mensen die recent een ticket kochten of ontvangers die denken dat er creditcardfraude heeft plaatsgevonden slachtoffer geworden", zegt Carl Leonard van Websense. Het bedrijf maakte onderstaande screenshot van de e-mail.

Reacties (7)
24-09-2012, 17:05 door SirDice
Dit archief bevat een bestand genaamd 'KLM-e-Ticket.pdf.exe' en bevat een backdoor die aanvaller via Telnet op poort 8000 toegang tot de besmette computer geeft.
Daar hebben ze goed over nagedacht, maar-niet-heus.
24-09-2012, 17:10 door [Account Verwijderd]
[Verwijderd]
24-09-2012, 17:15 door Anoniem
RTLO truck dus weer

;0x202E - right-to-left override
;0x202B - right-to-left embedding
;0x202D - left-to-right override
;0x202A - left-to-right embedding
24-09-2012, 20:00 door Anoniem
Daar hadden we er vorige week al een paar honderd van gehad.

Het verschil met de echte is dat het originele subject meer info bevat.
De Itninerary info zit gewoon in de opmaak en dat het echte ticket GEEN attachment bevat.

Voor de rest hebben ze aardig hun best gedaan, ik heb ze wel eens slechter gezien.
24-09-2012, 20:20 door regenpijp
Wow, dat is een effectieve aanval: https://www.virustotal.com/file/fa4e10dfadcf590060870d7974b81f648f78626d49785e780a26672b2728cedc/analysis/
24-09-2012, 22:05 door [Account Verwijderd]
[Verwijderd]
03-02-2014, 20:54 door Anoniem
Hallo ,

Kan er iemand me dringend helpen met een adres waar ik een vliegticket van KLM kan laten controleren of die nep is of echt. Bedankt op voorhand
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure