Nieuws

Sluwe JavaScript-phishingaanval op Outlook Web Access

donderdag 23 oktober 2014, 16:27 door Redactie, 11 reacties

Ministeries van verschillende landen, alsmede televisiemaatschappijen en andere organisaties zijn het doelwit van een sluwe phishingaanval geworden waarbij JavaScript en verkeerd gespelde domeinnamen werden gebruikt om inloggegevens voor Outlook Web Access (OWA) te stelen.

De phishingaanvallen begonnen met op maat gemaakte e-mails die naar verkeerd gespelde domeinnamen van bekende conferenties, beurzen, nieuwssites en evenementen linkten. Zo werd voor het domein eurosatory.com, van de gelijknamige grote defensiebeurs in Parijs, eurosatory2014.com gebruikt. Vervolgens werd er een phishingmail verstuurd naar ambtenaren van het Hongaarse Ministerie van Defensie die mogelijk naar de beurs zouden gaan.

De link in de e-mail wees naar de eurosatory2014.com. De pagina bevatte echter JavaScript die, als de gebruiker de link vanuit het OWA-voorbeeldvenster had geopend, een tab met de echte beurssite opende. Daarnaast zorgde de JavaScript ervoor dat de OWA-sessie in de andere tab naar een phishingpagina werd doorgestuurd die liet weten dat de gebruiker was uitgelogd en opnieuw moest inloggen. In het geval van de aanval op het Hongaarse Ministerie van Defensie gebruikten de aanvallers voor de phishingpagina het domein mail.hm.qov.hu, terwijl het echte domein mail.hm.gov.hu is.

Volgens anti-virusbedrijf Trend Micro lijkt het erop dat deze phishingaanvallen succesvol waren. Om de aanval te laten slagen waren er wel twee vereisten, namelijk dat het slachtoffer OWA gebruikt en de link in het voorbeeldvenster bekeek. Daarbij maakte het niet uit welke browser de potentiële doelwitten gebruikten.

Doelwitten

Naast het Hongaarse Ministerie van Defensie waren ook televisiemaatschappijen in verschillende landen, militaire attachés, het Franse Ministerie van Defensie, een Duitse multinational, Pakistaanse militaire functionarissen, Poolse overheidsfunctionarissen, het Amerikaanse Ministerie van Buitenlandse Zaken en de ambassade van het Vaticaan in Irak, alsmede het Amerikaanse SAIC, de Organisatie voor Veiligheid en Samenwerking in Europa (OSCE) en het Amerikaanse ACADEMI het doelwit van deze phishingaanvallen.

In het geval van de aanval op de OSCE werd als loksite vice-news.com gebruikt, terwijl het echte domein news.vice.com is. De phishingpagina wees naar log-in-osce.org, terwijl log-in.osce.org het echte domein is. De aanval op SAIC maakte gebruik van de domeinen natoexhibitionff14.com en webmail-saic.com, terwijl de echte domeinen natoexhibition.org en webmail.saic.com zijn.

Voor de aanval op ACADEMI werden de domeinen tolonevvs.com en academl.com ingezet, terwijl gebruikers dachten op tolonews.com en academi.com uit te komen. Wie er achter de aanvallen zit is onbekend, maar volgens Trend Micro zou de groep mogelijk al sinds 2007 actief zijn.

Virusscanner Avast controleert veiligheid router

Politie waarschuwt voor gewelddadige Marktplaatsoplichters

Reacties (11)

23-10-2014, 17:17 door Erik van Straten

Een prima reden om e-mails met Javascipt te blokkeren.

23-10-2014, 17:31 door 0101

@Erik van Straten
Volgens mij gaat het niet om JavaScript in de e-mail zelf, maar op de phisingpagina.

Wat ik opmaak dat er gebeurde is dat de JS op de pagina waarnaar gelinkt werd in de e-mail de tab met de oorspronkelijke Outlook Web Mail doorstuurde naar een phisingpagina en vervolgens de pas geopende tab (waarop dit script draait) doorstuurde naar de echte webpagina.

23-10-2014, 20:49 door Anoniem

Dit gaat niet zozeer over javascripts *,
het is simpele klassieke Social engineering uit het boekje ten top.

Eigenlijk zijn het bijna complimenten met een pluim waard.
Geslaagd met vlag en wimpel.
Fascinerend hoor, social engineering.

Eigen verantwoordelijkheid?
Ergens ligt de verantwoordelijkheid vind ik meer bij de website aanbieders.

Want wat zou je moeten doen als je een webdomeinnaam verzint voor je organisatie?
Iets verzinnen waar je 'concurrenten' zo min mogelijk met gemakkelijke variaties op in kunnen springen.
Dat krijg je ervan, met dat (ook nog inconsequente) gekunstel met puntjes en streepjes in de naam.
Of registreer als houder op zijn minst dan de meest gelijkende naamvarianten er voor jezelf erbij (leert je gelijk goed nadenken over je naamgebruik!).

Daarnaast zijn we inmiddels in de mailbox ook nog eens zo gewend geraakt aan webdomeinlinks met (soms ook onbegrijpelijke) naamvarianten of andere linkdomeinnamen, met de nodige tussenliggende redirects van de html-mal 'massmailaanbieders'/'trackers', dat het eigenlijk heel normaal is dat de linknaam niet (geheel) overeenkomt met die van een organisatie.

Verkeerd geconditioneerd door de aanbieder zelf dus.
Weet jij bijvoorbeeld hoeveel en welke domein varianten een bank als ING in gebruik heeft? Post.nl?
Punt-nl, com, org, net, mail, prive, zakelijk, account, inlog, puntje streepje, ... ??
Voorbeelden in het artikel spreken al 'boekdelen'.

Is het dan heel gek dat gebruikers in een variant gaan trappen?
Mooie simpele krachtige voorbeelden.

Wat kan je eraan doen?

Gebruikers
Voortaan de links eerst 3 maal lezen?
Voortaan eerst opzoeken en controleren in het 'link-postcodeboek' (van Sidn)?

Aanbieders
Slim met je domeinnamen omgaan en extra namen registreren.
Minder url-naam-klooien in mailings en met externe tussenaanbieders (kappen met onbegrijpelijke/gepersonaliseerde trackinglinks ?)
Maar goed, het helpt uiteindelijk maar een beetje want variatiemogelijkheden genoeg.

* Iets soortgelijks bij browsers,
overweeg in ieder geval eens in de browsersettings van je browser nieuw geopende tabs op actief te zetten.
Nooit begrepen waarom de inactief setting altijd standaard staat ingesteld.
Als je een link opent wil je er immers naartoe, dus zou de tab ook actief moeten zijn.
Doe je dat niet dan is dat vroeg of laat vragen om moeilijkheden, dat is echt niet de schuld van sluwe javascripts maar van domme browsersettings.

23-10-2014, 22:48 door Erik van Straten

Door 0101: @Erik van Straten
Volgens mij gaat het niet om JavaScript in de e-mail zelf, maar op de phisingpagina.

Wat ik opmaak dat er gebeurde is dat de JS op de pagina waarnaar gelinkt werd in de e-mail de tab met de oorspronkelijke Outlook Web Mail doorstuurde naar een phisingpagina en vervolgens de pas geopende tab (waarop dit script draait) doorstuurde naar de echte webpagina.

Ik denk dat je gelijk hebt en dat ik te snel gereageerd heb. Dank voor de wake-up call!

Maar dat betekent wel dat er een kwetsbaarheid in OWA zit die ik niet kende - en waarvan Trend Micro stelt dat het geen vulnerability is...

Door Redactie: Daarnaast zorgde de JavaScript ervoor dat de OWA-sessie in de andere tab naar een phishingpagina werd doorgestuurd die liet weten dat de gebruiker was uitgelogd en opnieuw moest inloggen.

De "same origin policy" hoort te verhinderen dat javascript, afkomstig van een tweede site, invloed kan uitoefenen op een venster of tabblad met daarin de oorspronkelijke (eerste) site. Javascript geladen vanaf eurosatory2014.com zou geen invloed mogen kunnen uitoefenen op de OWA sessie. Daarom ging ik ervan uit dat er sprake was van Javascript in de e-mail.

Hoewel de Redactie correct vertaald lijkt te hebben pak ik toch de relevante tekst uit http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-operation-pawn-storm.pdf erbij:

Door Loucif Kharouni et al van Trend Micro op 2014-10-23:

Next-Level Phishing Targets
The attackers used specially crafted emails to redirect targets to any of several phishing websites with domain names that were very similar to those of well-known conferences and media outfits. These websites did not host malicious content but visiting them did lead to the automatic execution of a nonmalicious JavaScript.

Met "nonmalicious" lijken de auteurs te bedoelen dat het niet gaat om iets waar een virusscanner op triggert. Het doel ervan is wel kwaadaardig, zoals zometeen blijkt.

Links to these fake websites were then embedded in spear-phishing emails and sent to selected targets.
Opening such an email and clicking the link in OWA redirected victims to legitimate websites.

Hier gaan de auteurs wat kort door de bocht: ik neem aan dat de link in OWA een nieuwe browser tab opende, dat tabblad naar de fake website (eurosatory2014.com) stuurde, daar "nonmalicious" doch onvriendelijke Javascript geladen werd, en dat tabblad, na uitvoering van voornoemde (en hieronder naar gerefereerde) Javascript, vervolgens naar de echte website (eurosatory.com) werd doorgestuurd. Dat sluit dan ook aan op het volgende:

The JavaScript made it appear that the victims’ OWA sessions ended while at the same time, tricked them into reentering their credentials. To do this, the attackers redirected victims to fake OWA log-in pages by setting their browsers’ open windows property. The victims’ credentials thus ended up in the attackers’ hands.

Note that two special conditions need to be met for the attacks to succeed—victims should use OWA and click the embedded links via the web portal’s preview pane. The attacks worked on any popular browser such as Firefox®, Safari®, Chrome™, and Internet Explorer®. No vulnerabilities need to be exploited for the JavaScript to work.

Hoezo is het geen kwetsbaarheid, als Javascript afkomstig van eurosatory2014.com de inhoud van een ander browser tabblad of venster, met daarin een OWA sessie naar mail.hm.gov.hu, zo kan wijzigen dat daarin een logon page van mail.hm.qov.hu, verschijnt - een totaal ander domain (dat qua spelling toevallig op het oude lijkt)?

Als dit klopt, en er geen sprake is van een vulberability (zoals Trend Micro claimt), is het dus nog steeds niet veilig om een OWA preview pane te gebruiken. Waarom hebben gebruikers die mogelijkheid dan?

Of begrijp ik niet goed wat ik lees?

24-10-2014, 00:57 door Anoniem

Dit benadrukt maar weer eens het belang van zo kort mogelijke domein-namen die duidelijk zichtbaar zijn en waarvan de articulatie ook niet veel ruimte tot woordspeling overlaten.

24-10-2014, 11:26 door Anoniem

Gisteren, 20:49 door Anoniem

"Gebruikers
Voortaan de links eerst 3 maal lezen?
Voortaan eerst opzoeken en controleren in het 'link-postcodeboek' (van Sidn)?"

Vraag aan anoniem van 20:49: Wat is het 'link-postcodeboek' (van Sidn)? En hoe voer je het 'eerst opzoeken en controleren' uit?

Harry

24-10-2014, 11:54 door Anoniem

@Erik van Straten:

Volgens mij (moet ik even testen) kan een webpagina die geopend is in een nieuw tabblad of venster door gebruik te maken van de JavaScript-functie window.open de locatie van het openende tabblad wijzigen.

Zonder te testen, volgens mij gaat het ongeveer zo:

<a href='javascript:void 0' onclick="window.open('anderdomein.com/webpagina2.htm')">Link</a>


window.opener.location.replace('http://phishingsite.com/webpagina3.htm')
location.replace('http://legitiemesite.com')

24-10-2014, 14:22 door Anoniem

Door Anoniem: Gisteren, 20:49 door Anoniem

"Gebruikers
Voortaan de links eerst 3 maal lezen?
Voortaan eerst opzoeken en controleren in het 'link-postcodeboek' (van Sidn)?"

Vraag aan anoniem van 20:49: Wat is het 'link-postcodeboek' (van Sidn)? En hoe voer je het 'eerst opzoeken en controleren' uit?

Harry

Beste Harry,

De 't.a.v.-gebruikers opmerking' kon/mocht met lichte ironie gelezen geworden, vandaar de vraagtekens erachter (er bestaat bij mijn weten geen 'officieel' link-postcodeboek ;)

Toelichting bij 'gebruikers' 'opties'
Voor het ontdekken van de verschillen tussen "mail.hm.qov.hu" en "mail.hm.gov.hu" moest ik wel drie keer kijken om het verschil te ontdekken (bril nodig?).
Een dergelijke concentratie en opgave is 'bijna niet te doen' bij elke link die je onder ogen krijgt. Maar je kan het jezelf proberen op te leggen, alle beetjes helpen.

De andere genoemde 'postcodeboek' optie die 'mogelijk' zou zijn maar ook niet in de 'werkbare lijn der verwachtingen ligt', is het opzoeken van de eigenaar van een domein.
Dat kan op zijn minst (voor nl hoofd-domeinen) een beetje via een organisatie als SIDN waar je kan controleren of een (hoofd)domeinnaam nog vrij is maar ook aan wie deze toebehoort (incl. de streepjes variaties, niet de puntjes-in-de-naam variaties).

Of SIDN met deze nieuwe 'functie' nu gelukkig van zou worden?
Eerst 'Googlen' is ook een optie, voor de internationale domeinen bijvoorbeeld.

In de herhaling; dus, wat kan je eventueel als gebruiker eraan doen?

"Goed opletten", zegt men altijd.
Dat wordt dan "heel heel heel goed opletten!" ; altijd 3x kijken, domeinnamen opzoeken (eigenaar uitzoeken) , andere opties... ?
Realistische oplossing?
Nee waarschijnlijk niet voor de meeste gebruikers; veell teveell moeitee.
Daarnaast, heb je nu eenmaal niet altijd de volle 100% concentratie.

Daarom zou de oplossing meer van de aanbieder kant moeten komen.
Heel strict genomen : als ik als gebruiker weet dat die aanbieder maar één basisdomein gebruikt hoef ik me niets meer af te vragen bij al die andere varianten ; die andere varianten zouden dan gewoon niet geldig zijn!

Simpel en alleen (het is maar een voorbeeld)
www.ing.nl/...

ipv al die andere mogelijke varianten op varianten die phishers kunnen verzinnen

www.mijn-ing.nl/
www.jouw-ing.nl/
www.mailings-ing.nl/
www.aanbiedingen-ing.nl/
www.mijn-prive-ing.nl/
.. www.verzin-maar-wat-op-domein-ing.nl/'

25-10-2014, 01:04 door Erik van Straten

Door Anoniem: @Erik van Straten:

Volgens mij (moet ik even testen) kan een webpagina die geopend is in een nieuw tabblad of venster door gebruik te maken van de JavaScript-functie window.open de locatie van het openende tabblad wijzigen.

Zonder te testen, volgens mij gaat het ongeveer zo:

Hierbij ga je uit van Javascript in de mail (Webpagina #1), het vermoeden is nu juist dat daar geen sprake van is.

Het is mij een raadsel hoe deze aanval werkt.

25-10-2014, 12:30 door Anoniem

Door Erik van Straten:

Hierbij ga je uit van Javascript in de mail (Webpagina #1), het vermoeden is nu juist dat daar geen sprake van is.

Het is mij een raadsel hoe deze aanval werkt.

Nadere uitleg hier: http://blog.trendmicro.com/trendlabs-security-intelligence/operation-pawn-storm-putting-outlook-web-access-users-at-risk/

25-10-2014, 17:05 door Anoniem

Door Anoniem:

Anoniem,

Bedankt voor jouw heldere uitleg.

Harry

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer