Nieuws

Journalist laat zich hacken via social engineering en phishing

maandag 29 februari 2016, 14:44 door Redactie, 4 reacties

Een Amerikaanse journalist die als onderdeel van een experiment wilde kijken of hackers toegang tot zijn gegevens en systeem konden krijgen is uiteindelijk via social engineering en phishing gehackt. Het experiment van Kevin Roose is identiek aan dat van journalist Adam Penenberg drie jaar geleden.

Ook hij wilde zich laten hacken door hackers en werd uiteindelijk via een besmette e-mailbijlage gehackt. In het geval van Roose bestond de aanval uit twee onderdelen. Eerst gebruikten de onderzoekers social engineering om allerlei gegevens over hem te achterhalen, waarbij ze verschillende kabelbedrijven en een nutsbedrijf belden om te kijken of Roose daar een account had. Op Twitter ontdekte één van de onderzoekers dat de journalist bij Alibaba een hoverboard had besteld.

Vervolgens maakte hij een phishingmail waarin Roose zijn bestelling voor de douane moest bevestigen. Iets waar de journalist intrapte. De social engineering-aanval was nog niet voorbij, aangezien één van de vrouwelijke onderzoekers zich als de vrouw van Roose voordeed en zijn telecomaanbieder belde. Ze vroeg toegang tot het account van Roose, waarbij ze in de achtergrond het geluid van een huilende baby afspeelde. Uiteindelijk gaf de medewerker haar toegang tot zijn account. Ze kon vervolgens het wachtwoord wijzigen, waardoor Roose geen toegang meer zou hebben.

Certificaat

Het tweede deel van de aanval bestond uit phishing. Hierbij ontdekte één van de onderzoekers de persoonlijke website van Roose, gehost door Squarespace. De onderzoeker registreerde een domeinnaam dat op een letter na identiek aan die van Squarespace was. Vervolgens plaatste hij daar een nagemaakte website. De onderzoeker stuurde Roose hierna een e-mail dat hij via de website een certificaat moest installeren om de veiligheid van zijn website te verbeteren.

In werkelijkheid ging het om malware waarmee hij toegang tot de Mac-computer van de journalist kreeg. Via nagemaakte dialoogvensters wist de onderzoeker het beheerderswachtwoord te achterhalen, waarna er een keylogger werd geïnstalleerd voor het achterhalen van informatie en wachtwoorden en een programma om foto's via de webcam te maken.

Tips

Na afloop van het experiment gaven de experts verschillende basale beveiligingstips aan Roose om herhaling te voorkomen. Zo had hij niet op ongevraagde links in e-mails moeten klikken. Door zelf het adres van de websites in de browser in te tikken had hij beide phishingsites kunnen vermijden. Tevens kreeg hij het advies om twee-factor authenticatie in te stellen en het firewallprogramma Little Snitch voor Mac OS X te installeren. Een programma dat Roose niet kende.

Wat betreft het risico van social engineering nam hij contact op met zijn telecomaanbieder, internetprovider en bank en stelde dat niemand aanpassingen aan zijn account mag maken, tenzij ze een viercijferige pincode kunnen geven. "Uiteindelijk ben ik blij dat ik gehackt werd. Nu heb ik een goed idee waar mijn beveiliging tekortschoot en weet ik hoe dit kan worden verholpen." Hieronder een korte video van het experiment.

Nieuwe kwetsbaarheden in routers D-Link en Netgear ontdekt

ESET beschouwde populaire websites als besmet

Reacties (4)

29-02-2016, 15:59 door Anoniem

Jahaa, dat zijn een heeeleboel factoren bijelkaar : (double) targeted attack is ook nog ff wat anders dan standaard malware dreiging

Listig hoor, een krijsende baby op de achtergrond afspelen.
Dat verhoogt de urgentie van meewerken aan de andere kant van de lijn wel. ;)

Een heel aantal factoren staan buiten de standaard invloed van het slachtoffer.
Een ander deel van die factoren is inderdaad een kwestie van goed opletten.

Ook het advies van het installeren van een deregelijke extra uitgebreide outbound firewall is op zich niet verkeerd (als protectie laag) maar gaat voor een gemiddelde gebruiker slecht/nooit werken.
Wat ik heb gezien bij gebruikers die een dergelijk programma gebruikten is dat het te ingewikkeld was.
Het is een goed programma maar zal met behulp van een ander moeten worden geconfigureerd opdat die gebruiker geen pop up vragen krijgt waar het niet weet wat het er mee aan moet.

Bijvoorbeeld (bij benadering) iets als

Programma ... wil verbinding maken met ip .. over poort 22
Niet toestaan? Wel Toestaan? Voor de sessie toestaan? Voor 1 keer toestaan?

Tja, toevallig geen idee hoe dat te beoordelen?
En klikkkerdeklikkklikklikenklikkenmaarrrr :
ja of nee?

Op die Mac (en elke pc) kunnen inderdaad heel erg veel poorten dicht maar ook weer een heel ondoenlijke zaak (als je voorbij poort niveau naar ip niveau wil) omdat bijvoorbeeld MAC OS X heel graag de variable vrijheid wil hebben voor de eigen services naar variabele ip adressen en over een aantal poorten te willen communiceren. Meestal 80 en 443.
Daar ga je al (dat wordt dus extra beheer op applicatie niveau! Heb je al drie config niveaus met een fijne firewall!)

Daarnaast is er nog een heel andere veel en veel lastiger component actief : de eigenaar gebruiker zelf!
Want als je iemand eens assisteert zul je zien dat het lastige is dat elke gebruiker altijd maximale vrijheid wil hebben plus de zekere garantie dat het allemaal altijd werkt.
Dat kan je als 'begeleider' niet/nooit bieden want je kan niet in de toekomst kijken en weten wat voor programma met wat voor functionaliteit iemand nou weer wil downloaden en jou dan later met veel kabaal benadert omdat het niet werkt!
Ga er maar aan staan. Ook al eens een poll over geweest, assisteren met computer configuraties.

In ieder geval, het simpelste wat je in ieder geval kan doen is je extensie weergave onder Finder voorkeuren maar eens activeren en elk file dat géén extensie heeft niet aanklikken=openen/activeren, want de (kleine) kans bestaat dat het dan een (verkeerde) executable betreft.

Geeft je Finder window ondanks een extensie toch een zwarte/donkere icoonweergave met de kleine groene lettertjes 'exec', open het bestand dan beter ook maar niet.
Probeer uit te zoeken wat het is, vraag het een ander, of en gooi het weg als het kan (ik ga ervan uit dat je dan wel in je normale account omgeving zit en niet ergens in de normaliter onzichtbare library/systeem/root bestandsomgeving.)

Deze gebruiker klikte een link aan, vermoedelijk een download link.
Ja, als dan Safari je standaard browser is die standaard gedownloade links opent of jou wel waarschuwt bij openen maar jij dat direct weer klik-akkoord-weg-ermee aanklikt (zo doen 'we' dat toch?) dan kom je goed in de buurt van gesodemieter.
Met dank aan jezelf.

Kijk dus ook naar de voorkeuren van je Safari browser en haal dat vinkje van automatisch openen maar weg, kijk ook naar de andere privacy security voorkeuren en installeer een extensietje of wat om vervelend gedoe te voorkomen,.. een adblocker bijvoorbeeld,. en ..., ...

Heb je al eens gekeken naar de systeem voorkeuren rondom veiligheid en privacy?
Nee? ga dat dan eens gauw doen!

Overige tips laat ik voorlopig achterwege, omdat dit soort misbruik eigenlijk vrijwel niet voorkomt.
In ieder geval niet op grote en of commerciële schaal.
Die Mac is behoorlijk veilig maar social engineering is een krachtig spulletje, zeer krachtig. Ook Apple kan jou niet geheel beschermen tegen willens en wetens meewerken en waarschuwingen negeren.

(nou vooruit, een bekend tipje dan, AV installeren kan geen kwaad als scan extraatje op vooral pc malware.
Wel even goed kijken waar je akkoord mee gaat!
Aaiaii leeswerk ennnn dus dan maar blind klikken weer? Never ending story?
Je zou er bijna moedeloos van worden.

01-03-2016, 02:17 door VriendP

Die vermoeidheid die ik voel... waar komt die vandaan?

01-03-2016, 07:47 door Anoniem

Uiteindelijk gaf de medewerker haar toegang tot zijn account. Ze kon vervolgens het wachtwoord wijzigen, waardoor Roose geen toegang

Dan is deze medewerker verantwoordelijk voor alle geleden schade, hij had haar nooit toegang mogen
verlenen tot zijn account.
Zo zie je wel als je zelf alles op orden hebt je toch gehackt kunt worden om dat iemand anders het niet zo nauw neemt.

01-03-2016, 10:02 door Anoniem

Als je belt met een dienstverlener in Nederland, dan vragen ze ook mesaal naar postcode en geboorte datum ter verificatie. Helaas zijn dit gegevens die niet meer prive zijn (facebook etc) maar (semi-) publiek en meestal makkelijk te achterhalen.

Het wordt tijd dat hier andacht aan wordt besteed.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer