Security Professionals - ipfw add deny all from eindgebruikers to any

Volkskrant over cryptoware

17-10-2014, 23:17 door MisterAlias, 6 reacties
Laatst bijgewerkt: 17-10-2014, 23:21
Volkskrant stukje over cryptoware*. Mooi dat mainstream kranten dit onderwerp ook oppakken, maar ze mogen nog wel even een opfriscursus...

"Klanten van PostNL en DHL zijn slachtoffer geworden van een betrekkelijk nieuwe vorm van digitale criminaliteit. Cybercriminelen gijzelen onder de naam van de bedrijven computerbestanden en eisen vervolgens losgeld."

- Eh, volgens mij staat er geen PostNL bij het cryptoware scherm
- Betrekkelijk nieuw? bijv. cryptolocker is van september 2013 http://en.wikipedia.org/wiki/CryptoLocker

"De gijzeling van computers is een nieuwere variant van het bekende phishing"

- Als journalisten het al niet goed kunnen uitleggen, hoe moet jan met de pet op het dan ooit gaan begrijpen??? En dit is ook nog eens de volkskrant...

" Als de klant zijn track-and-trace ophaalt in een pdf-bestand, wordt de computer door criminelen overgenomen."

- Eh nee zie http://blog.fox-it.com/2014/10/15/torrentlocker-spreading-in-the-netherlands/

"The user is forced to enter the captcha in order to proceed. After the captcha the user is presented with a download of their track and trace information: The user is presented with a zip which has the payload inside. After opening their ‘document’ the malware will start connecting with its command and control server, generate encryption keys and start encrypting files. After its completed the user is presented with the following notice."

nogal verschilletje exe of pdf....

* http://www.volkskrant.nl/tech/computers-gegijzeld-uit-naam-van-postnl-en-dhl~a3771256/

Nu.nl gaat ook lekker

"Cybercriminelen 'gijzelen' computers in phishing-actie"

http://www.nu.nl/internet/3906414/cybercriminelen-gijzelen-computers-in-phishing-actie.html
Reacties (6)
18-10-2014, 08:24 door [Account Verwijderd]
[Verwijderd]
18-10-2014, 08:51 door Briolet
PostNL heeft er zelf ook niet veel van begrepen. Zo kreeg ik gisteren een mailtje van hen met een waarschuwing over dit onderwerp.

Er stonden echter 2 links in die je moest aanklikken om verder te komen. Het probleem was echter dat die links naar een 'e-mark.nl' domein doorverwezen. Heeft iemand daar ooit van gehoord? En bij dit soort mailtjes wordt altijd aangeraden om eerst de link te controleren voordat je heb gebruikt.
Nu geeft die 'e-mark.nl' link, een re-direct naar de PostNL.nl site, maar voor een waarschuwingsmail over phishig was het toch handiger geweest direct naar de bekende site te verwijzen.
18-10-2014, 10:56 door Anoniem
Door MisterAlias:
- Eh, volgens mij staat er geen PostNL bij het cryptoware scherm
- Betrekkelijk nieuw? bijv. cryptolocker is van september 2013 http://en.wikipedia.org/wiki/CryptoLocker


" Als de klant zijn track-and-trace ophaalt in een pdf-bestand, wordt de computer door criminelen overgenomen."
- Eh nee zie http://blog.fox-it.com/2014/10/15/torrentlocker-spreading-in-the-netherlands/
...
nogal verschilletje exe of pdf....
Ik begrijp je reactie wel, maar vind het zout op slakken leggen.

De cryptoware wordt verspreid via een (voor sommigen legitiem-ogend) mailtje, dat van PostNL afkomstig lijkt te zijn.
Één jaar is, zelfs in malware-land, inderdaad betrekkelijk nieuw.
Overigens is heel die locker-affaire begonnen met het actief hacken van MKB-serves door een knakker uit Rusland. Ik geloof dat dat in 2011 was, maar dat zou ik na moeten zoeken.

Mocht je interesse hebben: De eerste meldingen hiervan kwamen binnen op sites als BleepingComputer.com en GeekstoGo.com


M.b.t. de pdf-extensie, het zou makkelijk kunnen dat het aangeboden bestand xxx.pdf.zip heet.
Windows geeft standaard geen extensies weer, waardoor het kan lijken dat je een pdf-je binnenhaalt.
Of dat ook daadwerkelijk zo is, weet ik niet (geen bronnen), maar het is ook niet juist om te stellen dat het enkel en alleen gaat om een executable in een zip.

Effectief heb je gelijk natuurlijk!
Maar dat neemt niet weg dat het juist voor de n00b, zeker niet verkeerd is om te wijzen op het gevaar van bijlagen, zip's en pdf-jes. Je kunt nu eenmaal niet van iedereen (media!) verwachten dat ze ICT-security interessant vinden...
18-10-2014, 11:01 door Anoniem
Tracking links (zoals hier die van e-mark.nl) klik ik sowieso niet op. Als je als mail verstuurder iemand wil bespioneren heb je het niet begrepen.
18-10-2014, 15:32 door Erik van Straten - Bijgewerkt: 18-10-2014, 15:33
Door Briolet: PostNL heeft er zelf ook niet veel van begrepen. Zo kreeg ik gisteren een mailtje van hen met een waarschuwing over dit onderwerp.

Er stonden echter 2 links in die je moest aanklikken om verder te komen. Het probleem was echter dat die links naar een 'e-mark.nl' domein doorverwezen. Heeft iemand daar ooit van gehoord? En bij dit soort mailtjes wordt altijd aangeraden om eerst de link te controleren voordat je heb gebruikt.
Nu geeft die 'e-mark.nl' link, een re-direct naar de PostNL.nl site, maar voor een waarschuwingsmail over phishig was het toch handiger geweest direct naar de bekende site te verwijzen.
In https://www.security.nl/posting/405771/http%3A__subscriber_e-mark_nl_link794V181Q25543V65Q853V51351086Q527645V1274848565Q1_html#posting405779 beschijf ik hoe verstandige ontvangers van dit soort mails hiermee om zouden moeten gaan:

1) Niet op links klikken;
2) De feitelijk verzender (e-mark) aanmelden als spammer en phisher;
3) De mail verder als waardeloos beschouwen en weggooien.


Hoe stom kun je zijn als PostNL en e-mark...
20-10-2014, 14:34 door Anoniem
Door Anoniem:
Door MisterAlias:
- Eh, volgens mij staat er geen PostNL bij het cryptoware scherm
- Betrekkelijk nieuw? bijv. cryptolocker is van september 2013 http://en.wikipedia.org/wiki/CryptoLocker
betrekkelijk
bijv.naamw.
Uitspraak: [b??tr?k?l?k]

niet absoluut maar in verhouding tot iets anders
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.