image

Besmette advertenties verspreid via Telegraaf.nl

maandag 15 juni 2015, 17:25 door Redactie, 31 reacties

Er vindt op dit moment een grootschalige campagne plaats waarbij Nederlandse internetgebruikers het doelwit van besmette advertenties zijn. De besmette advertenties zijn onder andere op de website van de Telegraaf verschenen, zo waarschuwt het Delftse beveiligingsbedrijf Fox-IT.

Sinds afgelopen donderdag 11 juni worden de besmette advertenties aan Nederlandse internetgebruikers getoond. Het gaat om advertenties op Telegraaf.nl, theguardian.co.uk, huffingtonpost.com en lemonde.fr. Volgens Fox-IT veroorzaken de advertenties op Telegraaf.nl de meeste slachtoffers. De advertenties wijzen gebruikers door naar de Angler Exploitkit. Deze exploitkit maakt gebruik van bekende beveiligingslekken in onder andere Adobe Flash Player die niet door gebruikers zijn gepatcht.

In het geval de aanval succesvol is wordt de Bedep Trojan geïnstalleerd, die aanvullende malware kan installeren en computers voor clickfraude kan inzetten. Wat de uiteindelijke lading van de malware is, is nog niet bekend. De advertenties in kwestie worden via twee advertentieaanbieders, AppNexus en Rubicon, op de betreffende websites getoond. In het verleden waren beide partijen ook al betrokken bij het verspreiden van besmette advertenties, onder andere ook op Telegraaf.nl.

Reacties (31)
15-06-2015, 17:31 door [Account Verwijderd] - Bijgewerkt: 15-06-2015, 17:33
[Verwijderd]
15-06-2015, 18:19 door Anoniem
Door Anak Krakatau: weer televaag? ze willen maar niet leren he? mijden die site is mijn devies!

Als het goed is heb je zelf je spullen op orde en laat je dat niet afhangen van een website. Dit kan iedere website overkomen die gebruik maken van die adservers.

Telegraaf vermijden ok, niks mis mee maar dan toch niet om deze reden. :)
15-06-2015, 18:54 door Anoniem
Jammer dat het op elke nieuwssite staat, maar op het twitter account van de telegraaf er nog geen woord over wordt gerept.
15-06-2015, 19:11 door Anoniem
Door Anak Krakatau: weer televaag? ze willen maar niet leren he? mijden die site is mijn devies!
Wat schiet je daar nu weer mee op? Mijdt heel het WWW dan gelijk, zou ik dan zeggen.
15-06-2015, 19:38 door Anoniem
Advertenties zijn de makkelijkste wagenwijd open backdoor voor alle grote websites. Jij en ik kunnen in een handomdraai en voor een paar euro elke content plaatsen die we maar willen, zonder enige controle.
15-06-2015, 19:38 door Anoniem
Door Anak Krakatau: weer televaag? ze willen maar niet leren he? mijden die site is mijn devies!

Waarom? Het gaat om bekende beveiligingslekken. Alleen gebruikers die niet hebben gepatcht zijn kwetsbaar. Gij zult updaten.
15-06-2015, 20:05 door Anoniem
Alleen bekende beveiligingslekken? Noch jij, noch de schrijver kan dat weten. Zeroday's zijn de leukste om in te zetten in een advertentie.
Wat de boer niet kent, mist ie niet. Of mist ie juist wel, beter gezegd in deze context.
15-06-2015, 20:08 door johanw
Door Anoniem:Alleen gebruikers die niet hebben gepatcht zijn kwetsbaar. Gij zult updaten.
En Gij zult een adblocker installeren.
15-06-2015, 20:16 door Anoniem
Ben ik ff blij dat ik adblock heb en mijn updates up to date houd....
15-06-2015, 20:29 door Anoniem
Door Anoniem:Dit kan iedere website overkomen die gebruik maken van die adservers.

Ja daarom vermijd ik ook adservers... die lui kan kennelijk alles overkomen, dus die vertrouw ik niet meer.
15-06-2015, 21:30 door Anoniem
Dit is natuurlijk een serieuze zaak, en in plaats van triviale meningen te verkondigen, zou het verstandiger zijn om ervaringen met deze website te gaan uitwisselen, om de zien of er gebruikers zijn besmet.

Ik blokkeer dit soort zaken via Ghostery, en de reeds genoemde Rubicon is op de website van de Telegraaf zichtbaar als geblokkeerde reclame.
Opvallend was het gedrag van de Analytics Hotjar, die iedere keer na het blokkeren weigerde de pagina te herladen, en
na een herstart van Firefox weer werkzaam bleek te zijn. Pas na deze in de opties van Ghostery te hebben aangevinkt
is ook deze geneutraliseerd.
Inmiddels heb ik gewoon alle Ghostery mogelijkheden om één en ander te blokkeren maar preventief aangevinkt.
15-06-2015, 22:14 door Anoniem
Ik weet niet wat erger is, de content van de Telegraaf zelf of de besmette advertenties... ;-)
15-06-2015, 22:17 door [Account Verwijderd]
[Verwijderd]
15-06-2015, 23:13 door Anoniem
Overigens werden deze exploits via meer sites aangeboden

Volgens Surfright (https://hitmanpro.wordpress.com/2015/06/15/malvertising-campaign/) via de volgende sites:

telegraaf.nl
volkskrant.nl
trouw.nl
parool.nl
dumpert.nl
theguardian.com
huffingtonpost.com
lemonde.fr
elle.com
16-06-2015, 00:45 door Anoniem
Door Anak Krakatau: ok, effe ter verduidelijking: ja, ik gebruik een adblock, en ja ik mijd de televaag. ik hoef niet het hele www te mijden, waar daar komen de meeste mensen toch niet.

Je kan wel willen, maar ieder site die draait op advertentie inkomsten heeft die ruimte verhuurd aan 3e partijen. Die derde partij is voor kwaadwillenden een makkelijk doelwit. Zo verspreiden ze hun malware over een groot aantal populaire sites. Bezoekers zonder fatsoenlijke virusscanner, add blocker of die nog met Internet Explorer surfen zijn het haasje.

Ik zit regelmatig op de telegraaf, maar dan met add blocker en ik heb nergens last van.
16-06-2015, 00:55 door Anoniem
Door Anoniem:
Door Anak Krakatau: weer televaag? ze willen maar niet leren he? mijden die site is mijn devies!

Als het goed is heb je zelf je spullen op orde en laat je dat niet afhangen van een website. Dit kan iedere website overkomen die gebruik maken van die adservers.

Telegraaf vermijden ok, niks mis mee maar dan toch niet om deze reden. :)

Waarom? Gebruik maken van een advertentie-netwerk onslaat een sitebeheerder niet van de verantwoordelijkheid voor hetgeen via hun site wordt verspreid. Het zou daarnaast volstrekt idioot zijn als je een dergelijke site blijft bezoeken.
16-06-2015, 02:10 door Anoniem
In mijn ogen blijven de beheerders van deze websites als de Telegraaf verantwoordelijk voor eventuele schade aan je computer systeem. Want ook als lopen de slachtoffers achter op hun updates, het is uiteindelijk de Telegraaf die deze reclame frames gebruikt.
16-06-2015, 08:45 door Anoniem
Door Anoniem: In mijn ogen blijven de beheerders van deze websites als de Telegraaf verantwoordelijk voor eventuele schade aan je computer systeem. Want ook als lopen de slachtoffers achter op hun updates, het is uiteindelijk de Telegraaf die deze reclame frames gebruikt.

"Slachtoffers" die achterlopen met hun updates maken zich schuldig aan onverantwoordelijk gedrag. Zij ondersteunen de verspreiders en houden zo het circus aan de gang.
16-06-2015, 10:00 door [Account Verwijderd]
[Verwijderd]
16-06-2015, 10:10 door Anoniem
Wanneer komt er nu eens (Europese) wetgeving waarmee mensen gemakkelijk de schade kunnen verhalen die ze door dit soort kwaadaardige advertenties oplopen? Wat dat betreft is het amerikaanse systeem met zijn class action een uitkomst; als enkele duizenden slachtoffers zich zouden samendoen en iedere keer de telegraaf aanklaagden wanneer die weer schadelijke advertenties vertoonde, dan zou de telegraaf zo eieren voor haar geld kiezen en met betrouwbaardere advertentiepartners in zee gaan in plaats van keer op keer straffeloos haar klanten te duperen.
16-06-2015, 10:30 door Anoniem
Door Anoniem: In mijn ogen blijven de beheerders van deze websites als de Telegraaf verantwoordelijk voor eventuele schade aan je computer systeem. Want ook als lopen de slachtoffers achter op hun updates, het is uiteindelijk de Telegraaf die deze reclame frames gebruikt.
Uit verschillende nieuwsberichten over dit soort zaken krijg ik de indruk dat in ieder geval in een deel van de gevallen niet de advertentie zelf maar de website waar die naar linkt de kwaadaardige inhoud bevat. Dat is niet te controleren voor een advertentienetwerk of een website die advertenties afneemt. De boosdoener hoeft alleen maar te zorgen dat de website schoon is op het moment dat de advertenties worden aangeboden, om de kwaadaardige inhoud pas toe te voegen als de advertentie verspreid wordt naar websites. Zelfs als een advertentienetwerk feilloos afdwingt dat een advertentie alleen afbeeldingen, animaties en hyperlinks naar webpagina's (niet naar executables) bevat dan hoef je die gelinkte webpagina maar aan te passen en die doet het vuile werk. Hoe snel je daar ook op reageert, waterdicht krijg je dat niet.

Ik weet niet of het altijd zo gaat, maar als mijn indruk klopt komt het erop neer dat advertenties een makkelijke kruiwagen zijn om eigen hyperlinks in populaire websites te injecteren en zit het probleem niet (of niet alleen) in de advertenties zelf maar in het simpele feit dat je nou eenmaal niet over de inhoud van andermans website gaat.

Dat beperkt de mogelijkheden van (in dit geval) De Telegraaf en het netwerk dat de advertenties heeft verspreid nogal. En dan is de vraag in hoeverre je verantwoordelijk gehouden kan worden voor iets waar je geen invloed op hebt.

Aan de andere kant gebruiken exploitanten van websites die het van advertenties moeten hebben maar al te vaak als argument tegen adblockers dat de advertenties integraal onderdeel zijn van de pagina en dat je die als "bezoeker" niet mag aanpassen. Wie dat argument gebruikt moet logischerwijs ook verantwoordelijkheid nemen voor malware in dat geheel. Wie dat niet wil heeft wat mij betreft geen enkel argument tegen adblockers, flashblockers, noscript en dergelijke.
16-06-2015, 11:01 door Anoniem
Door Krakatau:
Door Anoniem:
Door Anoniem: In mijn ogen blijven de beheerders van deze websites als de Telegraaf verantwoordelijk voor eventuele schade aan je computer systeem. Want ook als lopen de slachtoffers achter op hun updates, het is uiteindelijk de Telegraaf die deze reclame frames gebruikt.

"Slachtoffers" die achterlopen met hun updates maken zich schuldig aan onverantwoordelijk gedrag. Zij ondersteunen de verspreiders en houden zo het circus aan de gang.

Je bedoelt net als die mensen die de verspreiding van MERS in stand houden omdat ze niet 24u per dag een mondkapje op hebben en niet thuis blijven?

Ik bedoel dat iedere middeleeuwer het u al kon vertellen: Voor het zwaard kan men zich niet hoeden, maar wel voor de galg.
16-06-2015, 11:04 door Anoniem
Door Anoniem:"Slachtoffers" die achterlopen met hun updates maken zich schuldig aan onverantwoordelijk gedrag. Zij ondersteunen de verspreiders en houden zo het circus aan de gang.
Verlies niet uit het oog dat de verspreiders de hoofdverantwoordelijken zijn.

Verlies ook niet uit het oog dat de computer- en software-industrie de laatste 20 jaar consequent heeft gedaan alsof een computer eenvoudiger te gebruiken is dan een stofzuiger, het zou allemaal volkomen intuïtief en zonder kennis van zaken goed gaan. Wie wat verder kijkt dan naar marketing weet dat dat er (gelukkig) tegenwoordig ook regelmatig wél wordt gezegd dat er wat meer voor nodig is, maar de marketingboodschap is nog altijd de luidste die de meeste mensen bereikt en die is nog altijd onverminderd optimistisch. Het resultaat is dat mensen zonder kennis van zaken geen verantwoordelijkheid nemen omdat ze consequent wijs is gemaakt dat dat nergens voor nodig is. En als ze horen dat ze toch wat moeten dan ontbreekt het ze aan de kennis van zaken om daar invulling aan te geven.

En verlies ook niet uit het oog dat het gemiddelde IQ 100 is. Tegenover iedereen met een IQ boven de 110 loopt er ook iemand rond met een IQ van onder de 90, da's ongeveer een kwart van de mensen. Er is een forse groep mensen voor wie dingen als de OV-chipkaart en pinpassen al te moeilijk zijn. Die mensen kunnen echt niet beoordelen wat de marketing van de computerindustrie ze allemaal niet vertelt, en als ze het ergens anders horen gaat het hun begrip te boven. Maar ondertussen worden ook voor hun computers steeds moeilijker te vermijden, je wordt voortdurend naar websites verwezen, en instanties als het UWV eisen als ik het goed begrijp dat werkzoekenden van alles via hun website regelen.

Je zet het woord slachtoffers tussen aanhalingstekens en je beschuldigt ze van onverantwoordelijk gedrag. Als je vindt dat iedereen maar overal verstand van moet hebben en maar even intelligent genoeg moet zijn om dat ook waar te kunnen maken dan stel ik voor dat je bij jezelf begint en even zorgt dat je door en door snapt waarom dat velen nooit zal lukken. Mocht dat je niet lukken dan ben je zelf het levende bewijs dat mensen nou eenmaal beperkingen hebben.
16-06-2015, 11:16 door Anoniem


Waarom? Gebruik maken van een advertentie-netwerk onslaat een sitebeheerder niet van de verantwoordelijkheid voor hetgeen via hun site wordt verspreid. Het zou daarnaast volstrekt idioot zijn als je een dergelijke site blijft bezoeken.

Je snapt overduidelijk mijn punt niet. Je zorgt er zelf voor dat je je zooi op orde hebt dan heb je (mits er geen zero-day in het spel is) relatief weinig te vrezen. Jouw veiligheid moet je niet af laten hangen van een falende beheerder.

Aanvullende info:
Naast de Telegraaf zijn de afgelopen dagen op meer populaire Nederlandse websites besmette advertenties verschenen die bezoekers met malware probeerden te infecteren. Het gaat ook om volkskrant.nl, trouw.nl, parool.nl en dumpert.nl, zo meldt het Nederlandse beveiligingsbedrijf SurfRight.
16-06-2015, 11:50 door Anoniem
Ik weet niet of het altijd zo gaat, maar als mijn indruk klopt komt het erop neer dat advertenties een makkelijke kruiwagen zijn om eigen hyperlinks in populaire websites te injecteren en zit het probleem niet (of niet alleen) in de advertenties zelf maar in het simpele feit dat je nou eenmaal niet over de inhoud van andermans website gaat.

Je indruk klopt niet, de advertenties vertonen actieve inhoud dmv. flash, er wordt een stukje software automatisch gedownload en uitgevoerd op de computers van de mensen die de advertentie bekijken. Als die mensen niet voorzien zijn van de laatste update van flash player dan worden ze automatisch doorgeleid naar een kwaadaardige website die -wederom automatisch- malware probeert te installeren. Één dag achterlopen met het updaten van de flash player is dus voldoende om doorgeleid te worden naar een kwaadaardige website, en of je virusscanner vervolgens beschermt tegen de malware die die site probeert te installeren, is nog maar de vraag.

Dat beperkt de mogelijkheden van (in dit geval) De Telegraaf en het netwerk dat de advertenties heeft verspreid nogal. En dan is de vraag in hoeverre je verantwoordelijk gehouden kan worden voor iets waar je geen invloed op hebt.

Dat is een non-argument, ook voor de rechter. Je hebt als Telegraaf namelijk altijd de mogelijkheid om invloed uit te oefenen op hetgeen er op jouw website vertoond wordt door de content actief te weren; als een advertentiepartner niet doet wat de Telegraaf wil kan de Telegraaf voor een andere advertentiepartner kiezen.

Aan de andere kant gebruiken exploitanten van websites die het van advertenties moeten hebben maar al te vaak als argument tegen adblockers dat de advertenties integraal onderdeel zijn van de pagina en dat je die als "bezoeker" niet mag aanpassen. Wie dat argument gebruikt moet logischerwijs ook verantwoordelijkheid nemen voor malware in dat geheel. Wie dat niet wil heeft wat mij betreft geen enkel argument tegen adblockers, flashblockers, noscript en dergelijke

Zo lang als de website niet voor het dataverkeer van de bezoekers betaalt heeft de website geen grond om eisen aan de bezoekers te stellen omtrent welke delen van de site die zouden moeten downloaden. Daarnaast is een website is altijd verantwoordelijk voor de content die ze aanbiedt, dat geldt net zo goed voor schadelijke advertenties als voor spul dat onder het auteursrecht valt.
16-06-2015, 12:04 door Anoniem
Door Anoniem:


Waarom? Gebruik maken van een advertentie-netwerk onslaat een sitebeheerder niet van de verantwoordelijkheid voor hetgeen via hun site wordt verspreid. Het zou daarnaast volstrekt idioot zijn als je een dergelijke site blijft bezoeken.

Je snapt overduidelijk mijn punt niet. Je zorgt er zelf voor dat je je zooi op orde hebt dan heb je (mits er geen zero-day in het spel is) relatief weinig te vrezen. Jouw veiligheid moet je niet af laten hangen van een falende beheerder.

Aanvullende info:
Naast de Telegraaf zijn de afgelopen dagen op meer populaire Nederlandse websites besmette advertenties verschenen die bezoekers met malware probeerden te infecteren. Het gaat ook om volkskrant.nl, trouw.nl, parool.nl en dumpert.nl, zo meldt het Nederlandse beveiligingsbedrijf SurfRight.

Volgens mij begrijp jij het niet helemaal. Van deze kant begrijpen we helemaal dat jezelf beschermen noodzaak is, maar dat lost het probleem niet op dat cybercriminelen straffeloos malware kunnen verspreiden via gerenommeerde websites. Die cybercriminelen veroorzaken miljarden aan schade en gedorven inkomsten (jezelf moeten beschermen tegen malware kost ook geld) en de advertentienetwerken en websites werken, wellicht door nalatigheid, daaraan mee. Dat alle schade voor de eindconsument is terwijl de advertentienetwerken en websites evenveel verdienen aan schadelijke als aan onschadelijke advertenties, is simpelweg een onrecht.
16-06-2015, 13:19 door Anoniem
Door Anoniem: Maar ondertussen worden ook voor hun computers steeds moeilijker te vermijden, je wordt voortdurend naar websites verwezen, en instanties als het UWV eisen als ik het goed begrijp dat werkzoekenden van alles via hun website regelen.
Excusez le mot, maar dat heeft u dan niet goed begrepen. Heb al jaren een UWV-uitkering en sinds kort een 2e erbij, maar alles over de post en telefoon geregeld. Slechts 1 bezoek afgelegd voor een eerste aanvraag. Verder iedere maand 1 envelop en 1 postzegel en een formuliertje invullen.

Hoe je dat voor elkaar krijgt? Even niet gemakzuchtig zijn en zeggen dat je geen Internet hebt. Alle instanties van de overheid zijn nog steeds op de ouderwetsche-, papieren wijze benaderbaar. Dat werkt prima. Oh ja, vergat ik bijna te vermelden: mijn IQ is bovengemiddeld. :)
That's all Folks!
16-06-2015, 14:35 door Anoniem
Door Anoniem:Je indruk klopt niet, de advertenties vertonen actieve inhoud dmv. flash, er wordt een stukje software automatisch gedownload en uitgevoerd op de computers van de mensen die de advertentie bekijken. Als die mensen niet voorzien zijn van de laatste update van flash player dan worden ze automatisch doorgeleid naar een kwaadaardige website die -wederom automatisch- malware probeert te installeren.
Bedankt, weer wat geleerd. De kwaadaardige website valt wel onder de indruk die ik had (die hebben krant en advertentienetwerk niet in de hand, en als die actief controleren kan dat makkelijk gesaboteerd worden door te beginnen met onschuldige inhoud en die later aan te passen). Het downloaden van software en het doorsturen naar een andere website zonder muisklik hoort natuurlijk niet in advertenties thuis.

Flash is overigens zelf een platform om software in te draaien. Klopt het wel dat er eerst software moet worden gedownload voordat een kwaadaardige site geopend wordt? Me dunkt dat direct in het Flash-object zelf geprogrammeerd kan worden. Of is het een kwestie van zoveel stappen inbouwen dat controle moeilijk wordt?

Hoe dan ook, het is duidelijk dat Flash te krachtig is voor advertenties. Een legitieme advertentie bestaat uit een afbeelding of simpele animatie die als hyperlink fungeert. Meer hoeft een plugin waarmee advertenties worden getoond niet te kunnen. Ik heb niet de indruk dat de advertentieindustrie zelfs maar op het idee is gekomen dat men het probleem kan helpen verkleinen door het initiatief te nemen zo'n plugin te ontwikkelen.
16-06-2015, 17:07 door Anoniem
Door Anoniem: Flash is overigens zelf een platform om software in te draaien. Klopt het wel dat er eerst software moet worden gedownload voordat een kwaadaardige site geopend wordt? Me dunkt dat direct in het Flash-object zelf geprogrammeerd kan worden. Of is het een kwestie van zoveel stappen inbouwen dat controle moeilijk wordt?

(Ik ben dezelfde Anoniem van voorheen.) De software is een stukje Flash ActionScript dat een integraal deel uitmaakt van de Flash banner zelf en dus tegelijk gedownload wordt met het plaatje dat getoond wordt. Normaal zorgt dat stukje scripting voor animatie e.d., maar het kan ook misbruikt worden.

Hoe dan ook, het is duidelijk dat Flash te krachtig is voor advertenties. Een legitieme advertentie bestaat uit een afbeelding of simpele animatie die als hyperlink fungeert. Meer hoeft een plugin waarmee advertenties worden getoond niet te kunnen. Ik heb niet de indruk dat de advertentieindustrie zelfs maar op het idee is gekomen dat men het probleem kan helpen verkleinen door het initiatief te nemen zo'n plugin te ontwikkelen.

Het probleem met dat idee voor een dedicated plugin voor het tonen van advertenties is dat maar weinig eindgebruikers bereid zullen zijn zo'n plugin te installeren. Men gebruikt juist Flash omdat vrijwel iedereen dat geïnstalleerd heeft en men een zo groot mogelijk publiek bereikt.
16-06-2015, 20:43 door Anoniem
Ik snap niet goed waarom er Flash nodig is, men kan die advertentiehosters toch verplichten alleen een PNG te leveren
en geen Flash of Javascript?

Wat mij betreft zijn er 2 redenen om advertenties te blokkeren:
1. uitvoeren van ongewenste en mogelijk gevaarlijke code
2. bewegende advertenties

Toen er nog niet dat veiligheidsprobleem was blokkeerde ik zelf gericht advertenties, maar dan alleen als
ze bewegen. Ik kan niet tegen het lezen van tekst met bewegende advertenties ernaast. Door het invoeren
van bewegende advertenties ben ik gaan kijken naar blokkeren. Toen er ook nog bij kwam dat er regelmatig
gehacked werd via advertenties sloeg dat door naar "alles blokkeren".

Ik denk dat er meer mensen zijn voor wie dat geldt, en dat het tamelijk dom is van de adverteerders dat ze
begonnen zijn met bewegende advertenties.
Als men dat nou even afschaft en alle scripting/flash stopt dan wordt het ook weer veiliger.
(even aangenomen dat de progammeurs er in slagen om een veilige PNG decoder te maken)
18-06-2015, 23:32 door Anoniem
Kunnen we die nieuwssites alweer bezoeken?
Ik zou wel weer eens willen weten wat er allemaal is gebeurd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.