image

Boy-in-the-Browser misleidt Windows-gebruikers

maandag 28 februari 2011, 11:13 door Redactie, 22 reacties

Aanvallers gebruikers een nieuwe manier om vertrouwelijke gegevens van internetgebruikers te stelen. Daarvoor waarschuwt beveiligingsbedrijf Imperva. Het gaat om een vereenvoudigde versie van de Man-in-the-Browser-aanval, genaamd Boy-in-the-Browser. De aanval wordt niet alleen voor internetbankieren, maar ook andere applicaties gebruikt.

De aanval gebruikt exploitcode om toegang tot het systeem van het slachtoffer te krijgen en wijzigt daar het HOSTS-bestand. Hierdoor wordt het slachtoffer naar een andere website doorgestuurd, ook al tikt hij zelf het adres in de adresbalk in. Vervolgens wordt de exploitcode van het systeem verwijderd, wat detectie voor virusscanners moet bemoeilijken.

Virusscanner
In tegenstelling tot een Man-in-the-Browser, is een Boy-in-the-Browser eenvoudig uit te voeren eneffectief voor kleinschalige operaties. De aanval is zeer lastig door consumenten te herkennen en moeilijk door virusscanners te voorkomen. Vanwege de eenvoud van de code kunnen de makers zeer snel nieuwe varianten uitbrengen. "Tegen de tijd dat signatures voor virusscanner beschikbaar zijn, staat de exploitcode niet meer op de machine", aldus Imperva.

De beveiliger waarschuwt dat vanwege de lage kosten van een Boy-in-the-Browser, aanvallers ze voor allerlei doelwitten kunnen gebruiken. "Het vermijden van infecties door dit soort Proxy Trojans is naar verluid de verantwoordelijkheid van consumenten, deze aanvallen worden echter een steeds groter probleem voor online service providers."

Reacties (22)
28-02-2011, 11:34 door Anoniem
waarom staat hier "Windows gebruikers"?
Op linux is ook een HOSTS bestand aanwezig en is de zelfde aanval mogelijk.

Greetingz,
Jacco
28-02-2011, 11:39 door Anoniem
hosts read-only maken.....en je bent niet vatbaar?
28-02-2011, 11:59 door [Account Verwijderd]
[Verwijderd]
28-02-2011, 12:00 door Syzygy
Dan moet die Malware wel onder Admin rechten draaien als ie de Hosts file wil veranderen.
28-02-2011, 12:04 door Mysterio
Voor zover ik weet is het verre van eenvoudig om zomaar even een HOSTS bestand aan te passen. Zeker niet met Windows 7.
28-02-2011, 12:14 door [Account Verwijderd]
[Verwijderd]
28-02-2011, 12:21 door Above
Hoezo zou het niet makkelijk zijn? Of je nu handmatig de rechten aanpast van je hostfile of zo een tool doet het voor je op moment dat je bent ingelogd onder een administrator. Met illegale software zoals Photoshop waarbij ze ook de hostfile aanpassen om niet naar huis te bellen is binnen 1 minuut gedaan.

Er zijn zat mensen die gewoon als administrator ingelogd zijn voor het gemak. Ik maak zelfs mee dat software fabrikanten aanraden om UAC uitzetten om hun pakket goed te kunnen draaien. Namen zal ik maar niet noemen.
28-02-2011, 12:26 door Syzygy
Of je nu handmatig de rechten aanpast van je hostfile of zo een tool doet het voor je op moment dat je bent ingelogd onder een administrator.
Ahaaaaaa !!!
Daarom moet je dus nooit ingelogd zijn onder admin als je gewoon werkt ;-)

He ik heb ook Photoshop , is dat illegaal dan, ik dacht dat die Adobe wel een serieuze tent was ??
28-02-2011, 12:27 door Anoniem
Toen internetbankieren net nieuw was in Nederland, was het land in rep en roer dat de Rabobank "gehackt was". Men stuurde een "spelletje" naar iemand die het hosts bestand aanpaste, waarna er meegekeken kon worden.

Dat is ondertussen zo lang geleden dat ik het niet eens meer via Google kan vinden om m'n geheugen te controleren. Google bestond toen zelfs niet.
28-02-2011, 12:28 door Above
Door Syzygy:
Of je nu handmatig de rechten aanpast van je hostfile of zo een tool doet het voor je op moment dat je bent ingelogd onder een administrator.
Ahaaaaaa !!!
Daarom moet je dus nooit ingelogd zijn onder admin als je gewoon werkt ;-)

Moet je tegen Exact(Globe) en UGS(Siemens) zeggen:-)

He ik heb ook Photoshop , is dat illegaal dan, ik dacht dat die Adobe wel een serieuze tent was ??

Ja ja, je weet wel. De versie welke verspreid wordt voor illegaal gebruik. Disabling the CS licensing system from verifying the registration serial-key in the hosts file.
28-02-2011, 14:44 door Syzygy
Ja ja, je weet wel. De versie welke verspreid wordt voor illegaal gebruik. Disabling the CS licensing system from verifying the registration serial-key in the hosts file.

Dat mag toch nieeeeeeetttttttttttttttttttttttt.
28-02-2011, 15:50 door SirDice
Door Peter V:
De aanval gebruikt exploitcode om toegang tot het systeem van het slachtoffer te krijgen en wijzigt daar het HOSTS-bestand. Hierdoor wordt het slachtoffer naar een andere website doorgestuurd, ook al tikt hij zelf het adres in de adresbalk in.
Simpel. HOSTS-bestand op alleen lezen configureren of (beter) de ACL aanpassen.
Nog beter, patch installeren die de bug dicht waar die exploit gebruik van maakt.
28-02-2011, 15:52 door SirDice
Door Anoniem: Toen internetbankieren net nieuw was in Nederland, was het land in rep en roer dat de Rabobank "gehackt was". Men stuurde een "spelletje" naar iemand die het hosts bestand aanpaste, waarna er meegekeken kon worden.
Dat is ondertussen zo lang geleden dat ik het niet eens meer via Google kan vinden om m'n geheugen te controleren. Google bestond toen zelfs niet.
Toen Google nog niet bestond was er nog geen enkele bank die aan internet bankieren deed.
28-02-2011, 16:32 door Mysterio
Toen Google nog niet bestond was er nog geen enkele bank die aan internet bankieren deed.
Helaas, in 1981 zag online bankieren het licht (echt via internet wel pas in 1994) en Google in 1996.
28-02-2011, 16:33 door Anoniem
ownwd, achter proxy word het host bestand niet gebruikt. btw: dit soort dingen deed ik al toen ik 14 was, niet echt nieuw dus...
28-02-2011, 17:40 door Anoniem
Door Anoniem: ownwd, achter proxy word het host bestand niet gebruikt. btw: dit soort dingen deed ik al toen ik 14 was, niet echt nieuw dus...
Opschepper! ;-)
28-02-2011, 18:16 door Syzygy
Door Anoniem: ownwd, achter proxy word het host bestand niet gebruikt. btw: dit soort dingen deed ik al toen ik 14 was, niet echt nieuw dus...

Vorig jaar dus!
28-02-2011, 18:27 door Rene V
Door Syzygy:
Door Anoniem: ownwd, achter proxy word het host bestand niet gebruikt. btw: dit soort dingen deed ik al toen ik 14 was, niet echt nieuw dus...

Vorig jaar dus!

lol! :D
28-02-2011, 18:33 door Korund
Door Anoniem: waarom staat hier "Windows gebruikers"?
Op linux is ook een HOSTS bestand aanwezig en is de zelfde aanval mogelijk.
Onder Linux heb je root-rechten nodig om /etc/hosts aan te passen, en die heb je niet als normale gebruiker.
01-03-2011, 11:07 door SirDice
Door Carborundum:
Door Anoniem: waarom staat hier "Windows gebruikers"?
Op linux is ook een HOSTS bestand aanwezig en is de zelfde aanval mogelijk.
Onder Linux heb je root-rechten nodig om /etc/hosts aan te passen, en die heb je niet als normale gebruiker.
Onder Windows heb je Administrator rechten nodig om C:\Windows\System32\drivers\etc\hosts. aan te passen en die heb je niet als normale gebruiker.
01-03-2011, 14:05 door Anoniem
Aanvallers gebruikers een nieuwe manier om vertrouwelijke gegevens van internetgebruikers te stelen.

Naast de diverse typo's in het artikel, gaat het hier dus totaal NIET om een nieuwe manier. Deze manier is al redelijk vaak gebruikt, wellicht wat ondergesneeuwd maar zeker niet nieuw!!!!

Ps: Iemand nog geintereseerd in hoe de hosts file onder OSX afgeschermd wordt?
01-03-2011, 22:16 door Anoniem
Door Syzygy:
Door Anoniem: ownwd, achter proxy word het host bestand niet gebruikt. btw: dit soort dingen deed ik al toen ik 14 was, niet echt nieuw dus...

Vorig jaar dus!
Ben nou 19jaar.

btw. Die hele discussie over dat je admin rights nodig hebt is onzin... Windows bevat inderdaad geen privilege escilations. *facepalm*
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.