Valse zendmasten in China gebruikt om malware te verspreiden
Criminelen in China maken gebruik van valse zendmasten om Android-malware te verspreiden. Via de zendmasten versturen de criminelen sms-berichten die van Chinese telecomproviders afkomstig lijken en zeer overtuigend zijn, zo meldt beveiligingsbedrijf Check Point.
In het sms-bericht wordt gelinkt naar een kwaadaardige app. Naast sms-berichten die zogenaamd van de telecomprovider afkomstig zijn maken de criminelen ook gebruik van sms-berichten die zich als app-update of werkgerelateerde documenten voordoen. Als gebruikers de app installeren vervangt de malware de standaard sms-app voor Android door een aangepaste versie.
Deze versie kan sms-berichten onderscheppen om zo tweefactorauthenticatie-codes voor mobiel bankieren te onderscheppen. Daarnaast steelt de malware ook inloggegevens voor de banksite en andere persoonlijke informatie, waardoor criminelen toegang tot de bankrekening kunnen krijgen en geld kunnen stelen.
Toegang tot de dienst krijg je via een "gedeeld geheim", een sleutel in je sim en in een databank van je dienstverlener. Aan je dienstverlener bewijzen dat jouw sim het juiste geheim bevat beschermt je niet tegen een dienst die om het even welke gebruiker toegang geeft en hem vervolgens rommel voorzet. Je wil niet alleen dat jij je bewijst tegenover je leverancier, maar ook dat hij zich bewijst tegenover jou. Dit nalaten is een fundamenteel probleem in het ontwerp van het protocol.
Met een self-signed certificaat had je ten minste nog TOFU (dicht te timmeren door een fingerprint van het certificaat op een sticker op het AP af te drukken. Vootwaarde is natuurlijk wel een zorgvuldig gegenereerd uniek sleutelpaar.
Maargoed, ja dat had vast beter gekund. Maar als je bedenkt dat wifi begon met WEP, wat ik weer tegenkwam in een college introductie cryptografie, met als hele duidelijke boodschap "zo moet het dus niet", dan snap je vast wel waarom dat soort handigheidjes er gewoon niet in zitten.
Dat is om exact dezelfde reden als al die andere security gaten in oude protocollen: omdat toen die protocollen bedacht werden we nog geen idee hadden dat er hackers op zouden staan die misbruik van dit feature zouden kunnen gaan maken. Vertrouwen in plaats van controle - je ziet waar het ons brengt.
Ergens halverwege het traject zal vast iemand geroepen hebben dit dat mis zou gaan, maar op dat moment waren er al teveel apparaten uitgerold om nog eenvoudig de plooien weer glad te strijken. Zie het als links rijden: het zou voor veel zaken handiger zijn om iedereen rechts te laten rijden, maar je krijgt 't niet meer voor elkaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
