Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
FlashPlayer Update: Hoe herken je de echte van de valse?
28-06-2011, 00:12 door Ilja. _V V, 13 reacties
FlashPlayer Update: Hoe herken je de echte van de valse?
Dit vroeg ik eergisteren ook al naar aanleiding van een opmerking door Bitwiper in zijn reactie van 15:59 op een andere vraag:
http://www.security.nl/artikel/37569/1/Sti_Trace.log.html
Van de schrik was mijn opvolgende reactie onduidelijk, ik bedoelde letterlijk met hoe herken je het:
Hoe ziet die popup er uit als je die op het scherm krijgt?
Alhoewel ikzelf best wel oplettend & ervaren ben, kan het mij dus ook op een slechte dag overkomen dat ik uit pure routine toch zo'n update-popup voor echt aan zie.
Zeker omdat ik het laatste halfjaar de automatische update van de FlashPlayer op 7 dagen heb ingesteld, dus als die interval redelijk overeen komt, kan ik flink de mist in gaan.
Ik heb sindsdien wel een paar uur gezocht, ook wel wat gevonden, maar dus geen screenshots nog.
Dichtstbijzijnd, een beschrijving, wat er op lijkt staat hier (& dan blijkt ook dat het voornamelijk bij YouTube voorkomt):
http://thehunk.blogspot.com/2011/05/alert-you-need-to-upgrade-your-flash.html
(Let op, site probeert een messenger.live.com-plugin te starten, niet echt gevaarlijk, mogelijk wel ongewenst, (mijn) browser vraagt permissie.)
Voor wat betreft afbeeldingen zoals dat er dan uit ziet, kan ik alleen screenshots uit 2008 vinden. Het is dus niet de eerste keer.
Bijvraag: Mocht een lieve lezer het overkomen, maak dan gaarne eerst nog even een screenshot & publiceer het!
Dit vroeg ik eergisteren ook al naar aanleiding van een opmerking door Bitwiper in zijn reactie van 15:59 op een andere vraag:
http://www.security.nl/artikel/37569/1/Sti_Trace.log.html
Van de schrik was mijn opvolgende reactie onduidelijk, ik bedoelde letterlijk met hoe herken je het:
Hoe ziet die popup er uit als je die op het scherm krijgt?
Alhoewel ikzelf best wel oplettend & ervaren ben, kan het mij dus ook op een slechte dag overkomen dat ik uit pure routine toch zo'n update-popup voor echt aan zie.
Zeker omdat ik het laatste halfjaar de automatische update van de FlashPlayer op 7 dagen heb ingesteld, dus als die interval redelijk overeen komt, kan ik flink de mist in gaan.
Ik heb sindsdien wel een paar uur gezocht, ook wel wat gevonden, maar dus geen screenshots nog.
Dichtstbijzijnd, een beschrijving, wat er op lijkt staat hier (& dan blijkt ook dat het voornamelijk bij YouTube voorkomt):
http://thehunk.blogspot.com/2011/05/alert-you-need-to-upgrade-your-flash.html
(Let op, site probeert een messenger.live.com-plugin te starten, niet echt gevaarlijk, mogelijk wel ongewenst, (mijn) browser vraagt permissie.)
Voor wat betreft afbeeldingen zoals dat er dan uit ziet, kan ik alleen screenshots uit 2008 vinden. Het is dus niet de eerste keer.
Bijvraag: Mocht een lieve lezer het overkomen, maak dan gaarne eerst nog even een screenshot & publiceer het!
Reacties (13)
28-06-2011, 00:56 door
Bitwiper
Ah, nu begrijp ik wat je bedoelt. Je bent aan het surfen en er verschijnt een melding dat je je Flash Player moet updaten; is die afkomstig uit jouw Flash Player of wordt de melding door een gecompromitteerde website op je scherm gezet?
Klikken op een melding die wel eens uit je webbrowser zou kunnen komen is net zo "verstandig" als het klikken op links in e-mails, zeker als die stellen dat er iets geupdate moet worden. Het veiligste is om er vanuit te gaan dat jij het onderscheid tussen een echte popup van Adobe (zie bijv. bovenaan deze pagina: http://www.f-secure.com/weblog/archives/00001970.html) en een gespoofde variant niet kunt zien.
Sluit de boel, ga naar de website van de fabrikant, update indien nodig, en ga verder waar je gebleven was.
Nog safer is natuurlijk als ordinary user surfen (geen UAC flauwekul) en bij zo'n melding uitloggen, als beheerder inloggen, de website van de fabrikant bezoeken (in dit geval http://www.adobe.com/software/flash/about), updaten indien nodig, uitloggen, weer inloggen als odrinary user en verder gaan waar je gebleven was.
Klikken op een melding die wel eens uit je webbrowser zou kunnen komen is net zo "verstandig" als het klikken op links in e-mails, zeker als die stellen dat er iets geupdate moet worden. Het veiligste is om er vanuit te gaan dat jij het onderscheid tussen een echte popup van Adobe (zie bijv. bovenaan deze pagina: http://www.f-secure.com/weblog/archives/00001970.html) en een gespoofde variant niet kunt zien.
Sluit de boel, ga naar de website van de fabrikant, update indien nodig, en ga verder waar je gebleven was.
Nog safer is natuurlijk als ordinary user surfen (geen UAC flauwekul) en bij zo'n melding uitloggen, als beheerder inloggen, de website van de fabrikant bezoeken (in dit geval http://www.adobe.com/software/flash/about), updaten indien nodig, uitloggen, weer inloggen als odrinary user en verder gaan waar je gebleven was.
met zo een popup heb ik eens een trojanfakealert binnen gehaald en mijn kaspersky zag het niet.
Door Anoniem: met zo een popup heb ik eens een trojanfakealert binnen gehaald en mijn kaspersky zag het niet.
Jaja...Wie zag het dan wel???
Als het echt flash player is staat er in de UAC-melding dat 'ie is ondertekend door Adobe...
28-06-2011, 11:37 door
peanuty
Door Anoniem:
Wie zag het dan wel???
Door Anoniem: met zo een popup heb ik eens een trojanfakealert binnen gehaald en mijn kaspersky zag het niet.
Jaja...Wie zag het dan wel???
Wie zag het dan wel????....
wanneer jou AV'tje FakeAlert niet ziet.... Dan zie JIJ het zélf wel!
(dan veranderd jou bureaublad vanzelf)
Is daar ook risico op als je via windows update een adobe flashplayer update krijgt.? ik krijg geen msn pop-up,gewoon een update mogelijkheid via een adobe update,althans dat denk ik maar is dat wel de echte of idd eentje door hackers op mijn pc geinstalleerd? Hoe kan ik dat precies zien/checken?
29-06-2011, 07:48 door
peanuty
Wanneer de pc zo'n 5 min aanstaat komt meestal de melding linksboven. Dan accepteer ik de install.
(Daarbij houd ik wel in de gaten of ik de juiste "installatie schermen" voorbij zie komen)
Wanneer ik op een website waar de update plots in beeld komt, dan installeer ik deze niet.
(hoeft niet slecht te zijn, maar doe het uit voorzorg)
Optie is misschien om even naar adobe.com te gaan en flashplayer daar nog s te downloaden.
Met een beetje geluk past ie jou flashplayer aan.
Misschien dat je daar iets aan hebt.
(Daarbij houd ik wel in de gaten of ik de juiste "installatie schermen" voorbij zie komen)
Wanneer ik op een website waar de update plots in beeld komt, dan installeer ik deze niet.
(hoeft niet slecht te zijn, maar doe het uit voorzorg)
Optie is misschien om even naar adobe.com te gaan en flashplayer daar nog s te downloaden.
Met een beetje geluk past ie jou flashplayer aan.
Misschien dat je daar iets aan hebt.
29-06-2011, 11:00 door
Spiff has left the building
Aan Ilja. _\\// of anderen,
Als je nog een screenshot wilt maken van zo'n Adobe Flash Player update-popup,
er komt weer zo'n popup aan.
Flash Player versie 10.3.181.34 is beschikbaar.
http://kb2.adobe.com/cps/901/cpsid_90194.html#main_10.3.181.34
De vierde Flash Player update deze maand, na 10.3.181.16, 10.3.181.22/ 10.3.181.23, en 10.3.181.26.
Bron:
http://www.gratissoftwaresite.nl/downloads/Flash+Player+10.3.181.34+downloaden
Flash Player versie 10.3.181.34 is een non-security update, dus je zou de update-popup kunnen afwachten om daar een screenshot van te maken.
Als je dat nog nodig vindt.
Want Bitwiper tipte gisteren natuurlijk al die F-secure pagina met een afbeelding van een legitieme Flash Player update-popup:
http://www.f-secure.com/weblog/archives/00001970.html
http://www.f-secure.com/weblog/archives/Adobe_Flash_Player_Update_10.1.png
Als je nog een screenshot wilt maken van zo'n Adobe Flash Player update-popup,
er komt weer zo'n popup aan.
Flash Player versie 10.3.181.34 is beschikbaar.
http://kb2.adobe.com/cps/901/cpsid_90194.html#main_10.3.181.34
De vierde Flash Player update deze maand, na 10.3.181.16, 10.3.181.22/ 10.3.181.23, en 10.3.181.26.
Bron:
http://www.gratissoftwaresite.nl/downloads/Flash+Player+10.3.181.34+downloaden
Flash Player versie 10.3.181.34 is een non-security update, dus je zou de update-popup kunnen afwachten om daar een screenshot van te maken.
Als je dat nog nodig vindt.
Want Bitwiper tipte gisteren natuurlijk al die F-secure pagina met een afbeelding van een legitieme Flash Player update-popup:
http://www.f-secure.com/weblog/archives/00001970.html
http://www.f-secure.com/weblog/archives/Adobe_Flash_Player_Update_10.1.png
"Jaja... Wie zag het dan wel???"
Zucht. Wat denk je dat het doel is van een "Fake Alert" ? Misschien dat de gebruiker het leest, en vervolgens een rogue anti-spyware pakket installeert ? Het is vrij lastig om een besmetting door TrojanFakeAlert -niet- op te merken.
Zucht. Wat denk je dat het doel is van een "Fake Alert" ? Misschien dat de gebruiker het leest, en vervolgens een rogue anti-spyware pakket installeert ? Het is vrij lastig om een besmetting door TrojanFakeAlert -niet- op te merken.
"FlashPlayer Update: Hoe herken je de echte van de valse?"
Indien het goed gedaan is, dan zie je het verschil simpelweg niet. Men zal immers een identiek venster laten zien.
Indien het goed gedaan is, dan zie je het verschil simpelweg niet. Men zal immers een identiek venster laten zien.
Dat flashgedoe is altijd iets heel omslachtig geweest maar bij gebrek aan een deftig alternatief heeft iedereen dat wel draaien.
In Win7 is het misschien handig even configuratiescherm te nemen daar programma's klikken daarna weer programma's en onderdelen klikken en in de meeste gevallen staat Adobe FlashPlayer helemaal bovenaan, handig is dan het balkje onderaan uw scherm in Win7 waar je sowiso kan aflezen welke versie FlashPlayer je op dat ogenblik hebt draaien en ook gelijk naar de FlashPlayer site kan gaan mocht er een nieuwere versie aangeboden worden.
Mensen met 64bit versies zouden dit even kunnen nalezen doch ik zou het persoonlijk nog niet installeren.
http://labs.adobe.com/
In Win7 is het misschien handig even configuratiescherm te nemen daar programma's klikken daarna weer programma's en onderdelen klikken en in de meeste gevallen staat Adobe FlashPlayer helemaal bovenaan, handig is dan het balkje onderaan uw scherm in Win7 waar je sowiso kan aflezen welke versie FlashPlayer je op dat ogenblik hebt draaien en ook gelijk naar de FlashPlayer site kan gaan mocht er een nieuwere versie aangeboden worden.
Mensen met 64bit versies zouden dit even kunnen nalezen doch ik zou het persoonlijk nog niet installeren.
http://labs.adobe.com/
02-07-2011, 00:09 door
Ilja. _V V
Woensdag, 15:05 Door Anoniem: Indien het goed gedaan is, dan zie je het verschil simpelweg niet. Men zal immers een identiek venster laten zien.
Wat dus een ernstig probleem is, zelfs voor degenen die weten waarop ze moeten letten.Woensdag, 11:00 Door Spiff: Aan Ilja. _\\// of anderen,
Als je nog een screenshot wilt maken van zo'n Adobe Flash Player update-popup,
er komt weer zo'n popup aan.
Die zijn zonder al te veel te zoeken wel te vinden op de website van Adobe. Het gaat me meer om de nieuwste neppers, want dan kan ik het visueel leren herkennen zoals met een zoek de verschillen raadsel.Als je nog een screenshot wilt maken van zo'n Adobe Flash Player update-popup,
er komt weer zo'n popup aan.
Voorbeeld van een Spaanse versie uit 2010, overigens toen per e-mail gespamd, vond ik hier op het Sophos-blog:
http://nakedsecurity.sophos.com/2010/01/04/adobe-malware-attack-sloppiness-puts-spaniard-works
Meestal zit er toch wel ergens een of meer fouten in... Deze keer ook hoop ik.
Dinsdag, 11:12 Door Anoniem: Als het echt flash player is staat er in de UAC-melding dat 'ie is ondertekend door Adobe...
d'Accord. Echter die certificaten kunnen ook vals zijn, & weer het probleem dat niet iedereen weet hoe een certificaat te controleren.Dinsdag,00:56, Door Bitwiper
Feitelijk eigenlijk de enige juiste methode die overblijft, echter met maar een nadeel & dat is dat het protocol ten alle tijde nageleefd dient te worden.Iets waar je dan dus de discipline voor moet opbrengen. Daarom schrok ik ook want ik heb zelf een maand geleden, nota bene als Beheerder bezig met iets ingewikkelds, zo een update-popup wegens verwachting & uit routine, meteen erin geklikt...
Was gelukkig wel een echte, maar toch...
Dank voor je bondige uitleg trouwens, Bitwiper!
Dat flashgedoe is altijd iets heel omslachtig geweest maar bij gebrek aan een deftig alternatief heeft iedereen dat wel draaien.
In Win7 is het misschien handig even configuratiescherm te nemen daar programma's klikken daarna weer programma's en onderdelen klikken en in de meeste gevallen staat Adobe FlashPlayer helemaal bovenaan, handig is dan het balkje onderaan uw scherm in Win7 waar je sowiso kan aflezen welke versie FlashPlayer je op dat ogenblik hebt draaien en ook gelijk naar de FlashPlayer site kan gaan mocht er een nieuwere versie aangeboden worden.
Mensen met 64bit versies zouden dit even kunnen nalezen doch ik zou het persoonlijk nog niet installeren.
http://labs.adobe.com/
In Win7 is het misschien handig even configuratiescherm te nemen daar programma's klikken daarna weer programma's en onderdelen klikken en in de meeste gevallen staat Adobe FlashPlayer helemaal bovenaan, handig is dan het balkje onderaan uw scherm in Win7 waar je sowiso kan aflezen welke versie FlashPlayer je op dat ogenblik hebt draaien en ook gelijk naar de FlashPlayer site kan gaan mocht er een nieuwere versie aangeboden worden.
Mensen met 64bit versies zouden dit even kunnen nalezen doch ik zou het persoonlijk nog niet installeren.
http://labs.adobe.com/
Ik vergat toen in dat schreef deze site te vermelden, die hebben meestal helemaal onderaan wel de laatste versie van flashplayer staan en nog vele andere:
http://www.softpedia.com/
:)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
