Norton Safe Web-website vind niks! schijnbaar niets mis mee!

Als je http://www.news15jo.net/ opzoekt via Google zie je heleboel keer
hetzelfde verhaaltje om de site aan te prijzen.
Klinkt erg duister. NoScript zal het werl geblokt hebben.

Check de site altijd ff na als je het verdacht vind. http://www.mywot.com/en/scorecard/www.news15jo.net (mywot.com) resultaat, virustotal vond trouwens maar 1/24 dus 1 van de 24 antivirus vond het een verdachte website.

Alléén maar een Norton Safe Web beoordeling dat zegt niet zoveel.
Hier nog een paar beoordelingen:
http://www.mywot.com/en/scorecard/www.news15jo.net
http://global.sitesafety.trendmicro.com/ (N.B. hier zelf even de link invoeren)
http://www.siteadvisor.com/sites/http%3A//www.news15jo.net/
https://www.virustotal.com/url/e61df11e9aa396222b894f68aeba293354e92fccf232f1c3c50a3ce02f26ac90/analysis/1338220039/
http://www.urlvoid.com/scan/news15jo.net/

Wellicht een phishing en spam site.
Wanneer je er geen gegevens hebt ingevoerd mogelijk geen probleem (al durf ik mijn hand daar niet voor in het vuur te steken).

Via mijn Yahoo online mailbox ontving ik een mailtje met de link van deze website. Ben zo stom geweest om op de link te klikken en werd doorverwezen naar een vreemde nieuwswebsite. Verder niets aan de hand. Maar 2 dagen later kreeg ik meldingen van contacten uit mijn online Yahoo adresboek die mailtjes van me kregen met dezelfde link erin...

Om duidelijk te krijgen: Gebruik je alleen je Yahoo webmail, bekijk je die mail niet tevens ook door middel van een mailprogramma op je computer?

Ik weet niet hoe de Yahoo webmail en adresboek precies functioneren, en of het simpelweg klikken op zo'n link tot gevolg kan hebben dat je de controle over je account kan kwijtraken, of dat je daarvoor eerst in een phishing-aanval zou moeten trappen en je accountgegevens moet invullen. Dat laatste lijkt me waarschijnlijker.
(Heeft iemand anders hier kennis daarover?)

In ieder geval is het verstandig om zekerheidshalve allereerst het password van je webmail-account te veranderen, als je dat nog niet gedaan zou hebben.

Een mogelijkheid is misschien dat je via het klikken op die link vanuit je Yahoo mailaccount simpelweg je mailadres hebt blootgegeven en dat nu gespamd wordt met jouw adres als dekmantel. Er wordt dan niet vanuit jouw acount gespamd, maar de spam wordt geadresseerd alsof die van jou afkomstig zou zijn. Daar kun je dan niets aan veranderen. Hoogstens kun je je contacten waarschuwen niet te klikken op links in berichten waarvan niet absoluut zeker is dat ze werkelijk wel van jou afkomstig zijn en veilig zijn. Maar dat je niet moet klikken op links waarvan je niet zeker weet dat ze veilig zijn, dat is uiteraard iets dat altijd geldt.

Om te proberen zoveel mogelijk uit te sluiten dat toch ook je computer op een of andere manier besmet kan zijn, is het verstandig om naast de al uitgevoerde Kaspersky en SUPERAntiSpyware scans, nog enkele scans in te zetten.
Denk aan Malwarebytes Anti-Malware Free (na installeren updaten voorafgaand aan het scannen)
http://www.malwarebytes.org/products/malwarebytes_free
en/of HitmanPro (wat sterker dan MBAM, maar met een ietsje grotere kans op een enkele false-positive)
http://www.surfright.nl/nl/HitmanPro
en wellicht ook de BitDefender Online Scanner(s)
http://www.bitdefender.com/scanner/online/free.html

Succes.

Ik krijg geen XSS meldingen van NoScript. Het zou kunnen dat er eerder kwaadaardige code was geïnjecteerd op de nieuws- site (die daar verder niks mee te maken heeft) maar dat die intussen is verwijderd. Dit zou mogelijk de verschillende scanresulaten kunnen verklaren.

Dit is echter een klassiek scenario voor een Cross Site Scripting/Cross Site Request Forgery aanval. Het is natuurlijk heel slim om via een mailaccount (of andere webapplicatie) die mogelijk kwetsbaar is voor XSS/CSRF het slachtoffer door te sturen naar de site waarop de exploit-code draait. Als het slachtoffer ook nog eens geen maatregelen heeft getroffen om java script te blokkeren heeft de aanvaller in een klap de voorwaarden gecreëerd voor een XSS/CSRF aanval.

Als NoScript op scherp stond dan is er waarschijnlijk niets aan de hand (de meeste XSS/CSRF aanvallen hebben java script nodig om te werken). Ik denk dat het echter geen kwaad kan om het wachtwoord van je (web)mailaccount waar je op ingelogd was op het moment dat je op de link klikte te veranderen. (Als je de link hebt geopend via een lokale mail-client en dus niet op een web-applicatie was ingelogd, is de kans van slagen van XSS/CSRF ook nihil).

Bij XSS/CSRF wordt er lokaal verder niks geïnstalleerd, alles gebeurd via je browser, de kwetsbare webapplicatie en de website waarop de aanvalscode draait. Achteraf scannen zal in dit geval dus niets opleveren. Als je AV een webscanner-module heeft die HTTP-verkeer in real-time scant kan die eventueel wel kwaadaardige code herkennen op het moment dat die wordt uitgevoerd.

Bij de reactie van choi -
dat bedoelde ik met iemand met kennis.

Ook als Noscript op de minst scherpe stand staat (Allow scripts globally) is de anti-XSS bescherming functioneel.

In dat geval kun je je afvragen waarom je die no-script geïnstalleerd hebt natuurlijk.

@Spiff, Choi en de rest:

Bedankt voor jullie reacties!
Ik gebruik enkel webmail. Kreeg ook meldingen van providers van mijn contacten waaruit bleek dat mails waren tegengehouden door de spambeveiliging. Dus hij maakt gebruik van mijn contacten. Toen kwam ik er ook achter dat er mails gestuurd waren naar e-mailadressen die niet eens in mijn adresboek stonden, maar enkel in mijn inbox en verzonden items!
Spybot vindt niets, Avast vindt niets en MS security essentials vindt ook niets.
Hoe kom ik er voor 100% achter of dat script(?) nog steeds ergens in mijn PC zit?
Of kan het een lek in Yahoo zelf zijn?

Guido

De Topic Starter ondertekende met Peter en jij bent Guido, ik ga er dus vanuit dat jij niet de TS bent en dat het om een ander geval gaat (jij bent waarschijnlijk de reactie van 28-5 20:58).

Als je verder niets hebt ingevuld op de site waar je naar bent doorverwezen dan kan het mogelijk ook een geval van XSS/CSRF zijn. Als je mijn eerdere bericht hebt gelezen dan weet je dat scannen geen zin heeft in dit geval omdat er niks wordt geïnstalleerd bij een XSS/CSRF aanval.

Er valt achteraf dus niets te detecteren door een scanner (zoals een keylogger of iets dat op je systeem moet worden geïnstalleerd en moet worden uitgevoerd). Alles dat nodig is voor een dergelijke aanval is dat je tegelijkertijd bent ingelogd op de kwetsbare webapplicatie en de aanvals-site en dat je browser dit soort aanvallen toestaat (doordat de browser zelf kwetsbaarheden bevat en/of dat javascript onbeperkt door de gebruiker wordt toegestaan).

Het enige wat je kan doen is het wachtwoord van je account veranderen (als je nog toegang tot de website hebt, anders moet je de admin aanspreken), je contacten waarschuwen en in het vervolg maatregelen treffen om de kans op succesvolle XSS-aanvallen te verminderen door javascript selectief toe te staan d.m.v een extensie als NoScript voor Firefox (die ook nog eens aparte XSS-bescherming biedt), NotScripts (heeft ook ingebouwde XSS-bescherming) voor Chrome of ScriptNo voor Opera (basale javascript-filter die helaas niet meer wordt ge-update door de maker).

Een week of wat geleden ontdekte Trend Micro een XSS-kwetsbaarheid in Yahoo mail, misschien dat jij daar het slachtoffer van bent geworden: http://blog.trendmicro.com/cloud-based-services-vulnerabilities-also-used-in-targeted-attacks/, http://www.livehacking.com/2012/05/21/yahoo-mail-reinforces-javascript-filters-to-defend-against-cross-site-scripting-attacks/

@Choi, ik ben idd niet degene die dit topic geplaatst heeft. Maar wel dezelfde mail ontvangen.

Ik wil natuurlijk niet dat dit vaker gebeurden gebruik IE, weet je zo'n extensie voor IE?

Denk jij dat men via zo'n script ook in de berichten zelf kan kijken, dus eventuele wachtwoorden etc kan opsporen in e-mails die in mijn mailbox staan?

Mvg, Guido

Laat ik eerst even voorop stellen dat er conceptuele en technische verschillen bestaan tussen XSS en CSRF maar die doen er even niet toe. Het uiteindelijke doel van dit soort aanvallen is om toegang te krijgen tot beschermde data, bijvoorbeeld door een openstaande webmail-sessie te kapen.

Dus ja, men heeft in jouw geval volledige toegang tot je mail-account en kan alles doen wat jij ook kan (berichten bekijken, wachtwoord veranderen, mail versturen enz).

Ik ken geen manier om javascript in IE selectief toe te staan-in ieder geval niet op dezelfde fijnmazige manier waarop NoScript dat kan. Ik heb echter-letterlijk-in geen jaren met IE gewerkt en misschien kan iemand anders daar meer over vertellen (volgens mij kan je in de Security Zones per domein e.e.a toestaan/beperken maar wat en hoe weet ik niet).

Overigens moet ik er gelijk bij vermelden dat niet alle CSRF-aanvallen javascript nodig hebben om te kunnen werken. Iemand heeft ooit aan dit soort javascript-loze aanvallen de quasi-humoristische naam OMG-they-stole-all-my-money-without JavaScript gegeven, en er is bij mij weten weinig dat je tegen deze aanvallen kan doen (en nee, ook niet door over te stappen op Linux) dan te hopen dat de ontwikkelaars van je browser en de web-applicatie hun werk goed hebben gedaan.

Aanvulling:
Aanvallen die wel gebruik maken van javascript kunnen in sommige gevallen gedetecteerd worden door AV als die beschikt over een zgn web-scanner (ook wel http-scanner genoemd). Wat de gratis pakketten betreft beschikken MSE (let op: de script-sanning van MSE werkt alleen i.c.m IE8 en hoger) en Avast over zo'n web-scanner.

@Choi:

Ik krijg het advies om mijn wachtwoord te wijzigen... maar dan kan degene die mijn Yahoo account of browser gekaapt heeft dit toch ook zien? Heeft wachtwoord wijzigen dus wel zin?

Mvg, Guuido

Ik zie nu in mijn sent items map van Yahoo dat er een aantal mails zijn gestuurd naar al mijn contacten met de link naar deze website. Onderwerp van deze mails is 'HI'. Het is dus rechtstreeks vanuit mijn mailbox gestuurd! Ik zie ook een e-mailadres staan van (waarschijnlijk) degene die hier achter zit: scklweorpkwpokwerpko@mail.com. Mogelijk een fake adres. Hopelijk stopt het nu ik mijn wachtwoord heb gewijzigd.

Guido

Ja, het heeft in mijn optiek wel zin.
Voor zover mijn kennis strekt heeft de aanvaller in het geval van XSS/CSRF niet zonder meer toegang tot je account. Er moet aan een aantal voorwaarden worden voldaan; je dient tegelijkertijd te zijn ingelogd op de kwetsbare webapplicatie en de aanvals-site om de aanvaller in eerste instantie toegang te verschaffen.

Het is nl een sessie-hijack met de mogelijkheid dat de kwetsbare web-applicatie je inlog-gevens blootstelt aan de aanvaller (waardoor hij ook na de sessie toegang tot je account heeft); de eerste on-geautoriseerde toegang duurt zolang als de ingelogde sessie duurt (en ik ken mensen die hun sessie nooit afsluiten), tijdens welke de aanvaller je adressenboek plundert en je contacten spamt met het adres van de aanvals-site enz enz.

De aanvaller hoeft het accountwachtwoord niet te veranderen-dat valt te snel op-, hij springt a.h.w van account naar account en spamt steeds de contacten van die account (en maakt ook gebruik van de account om andere -niet contacten-te spammen)

Tenzij de aanvaller je wachtwoord heeft veranderd en jou dus van toegang tot je account heeft uitgesloten kan je door je wachtwoord te veranderen (en niet meer op de aanvals-site te belanden) verdere toegang tot je account door de aanvaller blokkeren.

In Gmail kan je zien wanneer en vanaf welke locatie is ingelogd waardoor vreemde bezoeker snel kunnen worden geïdentificeerd, maar volgens mij biedt Yahoo een dergelijke functionaliteit niet.

Dit is een "work at home" scam. Voor degenen die Engels niet machtig zijn, dat betekent: thuiswerken oplichting. Het is vaak een combinatie van het aanbieden van thuiswerken in een krant-achtige stijl. Bezoek dergelijke sites niet.

Dit soort spam komt op grote schaal voor. De methode om het te dectecteren is een URI DNSBL, zoals SURBL. Vraag aan je provider om deze dienst in te schakelen in hun spam filter.

http://en.wikipedia.org/wiki/DNSBL#URI_DNSBLs

@Choi:

Ik ben er net achter gekomen dat er vanuit mijn eigen online Yahoo mailbox e-mails zijn gestuurd met als onderwerp 'HI' en dezelfde link erin. Steeds naar 1 contactpersoon en BCC naar een hele lijst andere contactpersonen. Ik zie deze e-mails gewoon tussen mijn sent items staan... Ik denk dat ik naast wachtwoord wijzigen toch even IE 9 ga verwijderen en opnieuw ga installeren. Voor de zekerheid.

Bedankt voor het meedenken. Ben overigens benieuwd of Peter (die dit topic gestart is) nog info heeft?

Guido

Je kan Internet Explorer niet verwijderen...

Onder Windows 7 kun je Internet Explorer wel als Windows-onderdeel uitschakelen en weer inschakelen, maar of dat nuttig is in dit verband, dat is een andere vraag.

Iedereen weer ontzettend bedankt voor de reacties. Ik zie nu nog meer het nut in van een extensie zoals No-Script. Nog even als vraagje tussendoor: ik las ergens iets over het 'scherp staan' van XSS binnen NoScript. Nu gebruik ik de default instellingen van NoScript, is dit voldoende of is het handig om een en ander nog wat beter af te stellen.

@Guido Ik heb voor de zekerheid mijn besturingssysteem even opnieuw er op gezet, fluitje van een cent met de recovery functie van windows. Ik zou zeggen verander niet alleen je wachtwoord maar ook een eventuele geheime vraag/antwoord.

Groetjes Peter

De standaardinstellingen zijn voldoende, de ontwikkelaar raadt deze ook zelf aan. Het uitzoeken van welke scripts noodzakelijk zijn voor het functioneren van een site en welke niet is echter niet altijd even eenvoudig. Als je uiteindelijk met veel moeite de whitelist hebt opgebouwd doe je er goed aan een backup van deze te maken (via de export-functie), hiermee bespaar je jezelf een hoop werk en irritaties bij her-installaties. Loop de whitelist ook regelmaatig na op overbodige vermeldingen bijv. van sites waar je nooit meer op komt maar waar ooit wel toestemming voor hebt gegeven.

Als je met NoScript gaat werken raad ik je aan om je even te verdiepen in de werking-de mogelijkheden en de beperkingen- daarvan: http://noscript.net/faq

Inmiddels heb ik ook zo'n mailtje ontvangen van een relatie. In mijn geval wees de link-die ik in een gecontroleerde omgeving heb geopend- naar hotweeknews.com/weeknews/lastnews.html waarop een thuiswerk-scam werd geadverteerd, een beetje z.a hier wordt besproken: http://techtalk.pcpitstop.com/2012/04/16/what-to-do-when-your-email-is-hacked/

De aanvallers hadden in het geval van mijn relatie het wachtwoord wel veranderd waardoor hij geen toegang tot de account meer had. Gelukkig is e.e.a inmiddels weer hersteld. Ik vermoed dat dit een staartje is van de aanvallen op Yahoo-accounts van midden april waar ik eerder naar verwees.

Die site lijkt iets met facebook te doen (in hotweeknews.com/weeknews/like.htm). Aanvulling 01:39: die "like.htm": lijkt sterk op http://pastebin.com/dxc6j7fQ.

Nb. de hele site is natuurlijk wel fake, van alle "comments" onder die "nieuws" pagina wordt de datum en tijd dynamisch gegenereerd.

Bij de site waar de TS naar verwees was het duidelijker wat er gebeurde, na het openen van www.news15jo.net/biz/ zag ik tussen de calls (gelogd in Wireshark): Als je de link vanuit je Yahoo webmail opende probeerde de aanvaller, zo te zien via een CSRF attack, de controle over je webmail te krijgen. Zie ook het 4e comment in https://isc.sans.edu/diary.html?storyid=13330.

Forget it. Deze jongens wijzigen de hostname zeer vaak.

En de issue hier is dat de TS op zo'n link geklikt heeft. Toen hij dat deed kreeg hij niet alleen maar een "work at home" scam te zien, maar werd tegelijkertijd geprobeerd z'n Yahoo account te kapen. Waarschijnlijk om nog meer identieke spams te kunnen versturen. Echter het adresboek van de TS valt ook in handen van de aanvallers, dus iedereen in dat adresboek hoeft niet alleen spam vanuit de TS z'n account te verwachten.