Nieuws
image

Computer van telefoonscammers via lek over te nemen

vrijdag 12 september 2014, 11:12 door Redactie, 9 reacties

Een onderzoeker heeft een zero day-lek in de zeer populaire remote desktop software Ammyy Admin ontdekt en tot een Metasploit-module uitgewerkt, waardoor het mogelijk is om de computers van telefoonscammers die mensen thuis lastigvallen volledig over te nemen.

Al geruime tijd worden ook mensen in Nederland door telefoonscammers gebeld die zich voordoen als Microsoftmedewerkers en stellen dat er problemen met de computer zijn. Slachtoffers worden vervolgens verleid om een programma te downloaden waarmee de oplichters toegang tot de computer kunnen krijgen om de zogenaamde problemen te verhelpen, waar vervolgens voor moet worden betaald.

De telefoonscammers gebruiken onder andere het programma Ammy Admin om de computer van het slachtoffer over te nemen. De makers van de remote desktopsoftware hebben al sinds 2012 een waarschuwing op de website staan die mensen die het programma downloaden waarschuwt voor oplichters. Volgens de makers wordt Ammyy Admin door 36 miljoen mensen en zakelijke gebruikers gebruikt.

Persoonlijk

Recentelijk werden de grootouders van beveiligingsonderzoeker Matt Weeks het slachtoffer van een telefoonscammer, waarop hij naar een manier zocht om de rollen om te draaien. Weeks besloot de software die de scammers gebruikten te onderzoeken en ontdekte uiteindelijk een kwetsbaarheid in Ammyy Admin waardoor hij de computer van een Ammyy-gebruiker kan overnemen als die verbinding met een computer probeert te maken.

De exploit die Weeks ontwikkelde werkte hij uit tot een Metasploit-module. Deze tool wordt door security professionals gebruikt voor het testen van netwerken en systemen en maakt het gebruik van exploits een stuk eenvoudiger.

"Normaliter publiceer ik geen zero day-exploits, maar in dit geval maak ik een uitzondering, omdat gegeven het gebruik van Ammyy Admin het zeer onwaarschijnlijk is dat het gebruikt zal worden om de computers van onschuldige slachtoffers over te nemen. De gebruikers die voornamelijk risico lopen zijn de scammers", aldus Weeks. Hij hoopt dat zijn exploit, die met de meest recente versie van Ammyy Admin werkt, een afschrikwekkende werking zal hebben.

Reacties (9)
12-09-2014, 12:21 door Anoniem
Maak me gek! Wat een held die Matt Weeks.
12-09-2014, 12:53 door Anoniem
Zou fijn zijn als die metasploit module ook gedropt wordt of zit dat bij de volgende updates?
12-09-2014, 12:56 door Anoniem
Koekje van eigen deeg.
12-09-2014, 15:19 door [Account Verwijderd] - Bijgewerkt: 12-09-2014, 15:20
[Verwijderd]
12-09-2014, 22:29 door Anoniem
Is deze software ook zichtbaar in de geïnstalleerde software op de computer in "Programma's en onderdelen"
12-09-2014, 22:38 door AA_CS
Door Anoniem: Zou fijn zijn als die metasploit module ook gedropt wordt of zit dat bij de volgende updates?
Uit het gelinkte artikel achter Matt Weeks:

"You can download the complete package here, including a fully commented metasploit module and detailed README with more information on running it: https://www.scriptjunkie.us/aaa.html"

Het zal uiteindelijk ook wel via een update verspreid worden denk ik.
13-09-2014, 12:28 door Anoniem
Zou het legaal zijn om een crowdfunding actie te starten om de eerste helden te kunnen betalen die deze scammers ontmaskeren en aangeven bij de juiste instanties?
13-09-2014, 15:58 door Anoniem
Ben net gebeld door "Microsoft". Jammer dat ik dit artikel nu pas lees, anders had ik het zeker geprobeerd. Goed werk!
15-09-2014, 09:12 door Whacko
Door Anoniem: Zou het legaal zijn om een crowdfunding actie te starten om de eerste helden te kunnen betalen die deze scammers ontmaskeren en aangeven bij de juiste instanties?
Als jij illegale acties uitvoert, ben je in nederland ook gewoon strafbaar voor wat je hebt gedaan volgens mij. Echter bewijsmateriaal dat jij als burger vergaart kan gewoon in de rechtzaak gebruikt worden, ook al is dat onwettig verkregen. Voor opsporingsdiensten is dat anders.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure