image

De phishingmail waardoor Twitteraccount CNN werd gekaapt

vrijdag 31 januari 2014, 16:14 door Redactie, 7 reacties

Vorige week wisten aanvallers verschillende Twitter- en Facebookaccounts alsmede een aantal officiële blogs van CNN te kapen. De aanval werd door het Syrian Electronic Army (SEA) opgeëist. Net als bij aanvallen op andere organisaties was er ook nu gebruik van een phishingmail gemaakt.

De phishingaanval op de CNN-medewerkers begon met een e-mail waarin werd gevraagd om het wachtwoord voor het Outlook Web App-account via de meegestuurde link te resetten, zo meldt beveiligingsbedrijf IntelCrawler. De HTML-opmaak zorgde ervoor dat de link naar getmail.turner.com leek te wijzen. In werkelijkheid wees de link naar het domein site90.com. Iets wat de werknemers ook hadden kunnen zien als ze met hun muis over de link hadden bewogen.

De werknemers die op de link klikten werden naar Site90.com doorgestuurd, waar om de gebruikersnaam en het wachtwoord van het turner.com domein werd gevraagd. De URL site90.com was gewoon zichtbaar in de URL-balk, daarnaast maakte de website geen gebruik van een SSL-certificaat, terwijl de echte inlogpagina op Turner.com dat wel doet. Toch vulden een aantal werknemers hun wachtwoord en gebruikersnaam in, waarna de aanvallers de social media-accounts van CNN konden overnemen.

Naast CNN werden ook Microsoft, aanbevelingsdienst Outbrain, hostingprovider Melbourne IT, chatdienst Viber, de Britse krant The Guardian, mediabedrijf Thomson Reuters, satirische website The Onion en Skype het slachtoffer van het Syrian Electronic Army.

Image

Reacties (7)
31-01-2014, 16:22 door Anoniem
En site90.com is dan weer onderdeel van Hostinger.com, een bedrijf dat ook in Nederland gratis webhosting aanbiedt.

Zo gemakkelijk is het dus: je schrijft een overtuigend e-mailtje op basis van openbare informatie, plaatst een phishingpagina bij een gratis webhost en je bent klaar!
31-01-2014, 16:42 door Anoniem
Dit bedroeft mij extreem.
31-01-2014, 17:20 door Flashback956
Hoe ongelooflijk dom ben je dan. Ik snap niet dat dit soort bedrijven daar nog (steeds) intrappen.
31-01-2014, 19:30 door [Account Verwijderd] - Bijgewerkt: 31-01-2014, 19:51
[Verwijderd]
31-01-2014, 21:50 door schele
Ik ben niet boos, ik ben teleurgesteld.
31-01-2014, 22:24 door 0101 - Bijgewerkt: 31-01-2014, 22:25
Afgaande op de signature vermoed ik dat ze eerst een mailtje naar de social media manager hebben gestuurd met bijvoorbeeld een onschuldige vraag, en toen uit haar reactie de handtekening hebben overgenomen waardoor ontvangers de indruk kregen met de echte Anna M. Gonzalez (nutteloos trouwens om de naam half onleesbaar te maken, dat Google je toch zo bij elkaar) te maken te hebben.

Wat betreft het rapport van IntelCrawler trouwens, in het rapport staat dat de aanvallers een "valse loginpagina van zeer hoge kwaliteit hebben gereproduceerd met gebruik van Java Script en templates". Ten eerste is het "JavaScript" aan elkaar (waar Java trouwens weinig méér mee gemeen heeft dan een deel van de naam), ten tweede heb je weinig JavaScript-vaardigheden nodig voor iets dergelijks en ten derde… Die templates zijn ook niet zo moeilijk; je surft naar de echte pagina, Firefox > Pagina opslaan als… en klaar.
02-02-2014, 07:45 door Anoniem
Ja, als systeembeheerders weigeren de beschikbare beveiliging voor social media accounts in te stellen en daarmee een ectra horde in te bouwen...Ooit gehoord van two factor authentication? Standaard in te stellen voor Twitter. Gratis met Google Authenticator. Ronny
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.