image

Scammers laten Google Chrome via "downloadbom" vastlopen

woensdag 7 februari 2018, 11:08 door Redactie, 8 reacties

Oplichters die zich als medewerkers van Microsoft voordoen maken gebruik van kwaadaardige advertenties en websites die Google Chrome via een "downloadbom" laten vastlopen, in de hoop dat mensen het opgegeven telefoonnummer bellen. Dat laat anti-malwarebedrijf Malwarebytes weten.

De kwaadaardige advertenties sturen internetgebruikers door naar een webpagina die over twee functies beschikt genaamd "bomb_ch" en "ch_jam". Deze functies laten Chrome een groot aantal downloads tegelijkertijd uitvoeren waardoor de browser niet meer reageert. De webpagina heeft dan al een pop-up getoond waarin wordt beweerd dat de computer met een virus is besmet en "Microsoft" moet worden gebeld.

Het opgegeven telefoonnummer is niet van Microsoft, maar van oplichters die slachtoffers proberen te laten betalen voor het verhelpen van het zogenaamde probleem. Het komt ook voor dat de oplichters geld van de rekening van slachtoffers stelen. Ze laten het slachtoffer namelijk software installeren waarmee de computer op afstand kan worden overgenomen.

Volgens Malwarebytes zijn Google Chrome-gebruikers op Windows het voornaamste doelwit. Gebruikers kunnen zich beschermen door een adblocker te gebruiken, zodat ze niet naar de kwaadaardige pagina's worden doorgestuurd. Wanneer Chrome is vastgelopen kan de browser middels Windows Taakbeheer worden gesloten. In de onderstaande afbeelding is links de melding te zien die gebruikers op hun scherm krijgen. De rechter afbeelding laat zien wat er gebeurt wanneer er wordt geprobeerd om de tab op een krachtige computer aan het begin te sluiten.

Image

Reacties (8)
07-02-2018, 11:41 door Anoniem
En weer wordt er misbruik gemaakt van het feit dat veel computergebruikers de meest basale kennis niet hebben. De URL in bovenstaande screenshots is windows.microsoft.com.msf-help.tld]/_windows/62 (top-level domain aangepast voor als iemand zo dom is hem te volgen). Het hier vet weergegeven deel is zwart in de adresbalk, het cursieve deel grijs. Iedere chrome-gebruiker zou moeten weten dat de domeinnaam zwart wordt weergegeven en dat als die niet op microsoft.com eindigt je ook niet op microsoft.com zit.

Dat is basiskennis. Zien dat je hier niet op de website van Microsoft zit is van dezelfde orde als zien dat er een auto aankomt en het niet veilig is om nu over te steken.

Dat zoveel computergebruikers dit soort dingen niet inzien is volgens mij te wijten aan een software-industrie die al een paar decennia dubbele boodschappen verkondigt. Als er iets concreet misgaat moeten gebruikers opeens veel complexere dingen aankunnen dan waar hier op gelet moet worden, maar als er iets verkocht moet worden is de boodschap dat kennis van zaken overbodig is om het te kunnen gebruiken. Het resultaat is dat veel gebruikers zodra je op de noodzaak wijst om zich ergens een beetje in te verdiepen een houding hebben van: "ja kom nou, dat hoef ik helemaal niet te weten". Dat zijn niet alleen mensen voor wie dit echt te moeilijk is, ook bij intelligente en zelfs hoogintelligente computergebruikers kom je dit tegen.

De software-industrie heeft in zijn aandrang om iedereen als klant te hebben een mentaliteit gekweekt die een beveiligingsprobleem vormt.
07-02-2018, 12:49 door Anoniem
Door Anoniem: En weer wordt er misbruik gemaakt van het feit dat veel computergebruikers de meest basale kennis niet hebben. De URL in bovenstaande screenshots is windows.microsoft.com.msf-help.tld]/_windows/62 (top-level domain aangepast voor als iemand zo dom is hem te volgen). Het hier vet weergegeven deel is zwart in de adresbalk, het cursieve deel grijs. Iedere chrome-gebruiker zou moeten weten dat de domeinnaam zwart wordt weergegeven en dat als die niet op microsoft.com eindigt je ook niet op microsoft.com zit.

Dat is basiskennis. Zien dat je hier niet op de website van Microsoft zit is van dezelfde orde als zien dat er een auto aankomt en het niet veilig is om nu over te steken.
Alhoewel ik het met je eens ben, dat dit basiskennis zou moeten zijn, is de vergelijking met de straat oversteken natuurlijk onzin. Als je niet oplet bij het oversteken, is de kans groot dat je leven snel voorbij is. Als je niet oplet met een URL kost het in het ergste geval wat geld (fake-support, ransomware, bankrekening geplunderd, ...), maar meestal wordt de gebruiker nog gered door antivirus, gezond verstand (op een later tijdstip) of een kennis met wat meer verstand van computers.

Ik vind URL's voor een "doorsnee" gebruiker ook best ingewikkeld. Het verschil tussen ".", "-" en "/" is voor een URL essentieel, maar voor de meeste gebruikers zijn het allemaal leestekens. Hoeveel % van de Internet-gebruikers kent het verschil tussen de volgende URL's? Ik wed dat het er heel weinig zijn...

www.example.com
www-example.com
www.example/com

OT: Hier vind ik de oplossing van Firefox trouwens beter dan die van Chrome, in Firefox wordt de URL als windows.microsoft.com.msf-help.tld/_windows/62 weergegeven, waardoor het eigenlijke (hoofd)domein nog beter naar voren komt.
07-02-2018, 14:26 door Anoniem
Door Anoniem: Alhoewel ik het met je eens ben, dat dit basiskennis zou moeten zijn,
Dat die basiskennis ontbreekt bij veel mensen wil niet zeggen dat het geen basiskennis is. Je hebt het keihard nodig om veel voorkomende situaties te kunnen beoordelen. Dan is het basiskennis.

is de vergelijking met de straat oversteken natuurlijk onzin. Als je niet oplet bij het oversteken, is de kans groot dat je leven snel voorbij is. Als je niet oplet met een URL kost het in het ergste geval wat geld (fake-support, ransomware, bankrekening geplunderd, ...), maar meestal wordt de gebruiker nog gered door antivirus, gezond verstand (op een later tijdstip) of een kennis met wat meer verstand van computers.
Mijn punt is dat het net zo fundamenteel is voor je veilig op het internet begeven als uitkijken bij het oversteken is voor het je veilig op straat begeven. Ik bedoelde niet dat de risico's in die twee domeinen volledig vergelijkbaar zijn.

Ik vind URL's voor een "doorsnee" gebruiker ook best ingewikkeld. Het verschil tussen ".", "-" en "/" is voor een URL essentieel, maar voor de meeste gebruikers zijn het allemaal leestekens. Hoeveel % van de Internet-gebruikers kent het verschil tussen de volgende URL's? Ik wed dat het er heel weinig zijn...

www.example.com
www-example.com
www.example/com
Is de boodschap dat de leestekens er ook toe doen, zeker als de browser nog helpt door het relevante deel van de URL te benadrukken, te moeilijk voor mensen die wel de weg kunnen oversteken en die wel hun boodschappen weten te vinden in de supermarkt? De aanname dat op een computerscherm opeens de meest simpele dingen veel en veel te moeilijk zijn voor mensen die geen nerd zijn is idioot. Mensen "kunnen" dat niet omdat iedereen maar blijft bevestigen dat het te moeilijk is, wat in mijn ogen begonnen is bij het verkopen van software als iets waarvoor je niets hoeft te weten. Als kinderen op de basisschool leren lezen en schrijven krijgen ze al mee dat verschillende leestekens verschillende betekenissen hebben. Dit valt met gemak binnen de intellectuele vermogens van de meeste mensen.

OT: Hier vind ik de oplossing van Firefox trouwens beter dan die van Chrome, in Firefox wordt de URL als windows.microsoft.com.msf-help.tld/_windows/62 weergegeven, waardoor het eigenlijke (hoofd)domein nog beter naar voren komt.
Daar ben ik het roerend mee eens.
07-02-2018, 15:56 door karma4
Als je je unicode tekens in de urls gebruikt kan je dat zo doen dat wie dan ook een verschil niet opvalt.
07-02-2018, 16:57 door Anoniem
Door karma4: Als je je unicode tekens in de urls gebruikt kan je dat zo doen dat wie dan ook een verschil niet opvalt.
Dat is waar. De browsermakers houden er rekening mee, maar volledig opgelost is het niet. Zie bijvoorbeeld:
https://wiki.mozilla.org/IDN_Display_Algorithm
Mooi voorbeeld uit dat verhaal: "scope.tld" en "?????.tld". Die zijn niet hetzelfde (westers en cyrillisch schrift) en worden in de adresbalk van de browser weergegeven zoals je ze ziet.

Dat dit niet volledig is dichtgetimmerd wil overigens niet zeggen dat het meteen wagenwijd open staat. Je kan niet zomaar tekens uit allerlei verschillende schriften door elkaar gooien zonder dat de browser daarop reageert, er is een beperkt aantal combinaties dat wordt geaccepteerd zonder dat de browser het als "punycode" (in ASCII gecodeerde Unicode) weergeeft. Dat beperkt de mogelijkheden van een aanvaller aanzienlijk.

Als ik in het voorbeeld van hierboven de letters meng tot "s?o?e.tld" dan wordt dat in zowel Firefox als Chrome als "xn--soe-1edd.tld" weergegeven. De basisvaardigheid om domeinen te herkennen in de adresbalk helpt ook hier duidelijk. Het ontbreken van die vaardigheid betekent dat de aanvaller niet eens moeite hoeft te doen om dit te misbruiken.

Het blijft daardoor een basisvaardigheid die werkelijk wat toevoegt.
07-02-2018, 20:11 door NeoRGx2siioKeTsiOomNjiM
Dag mensen, ik ben geen computer fanaat, daardoor misschien dat ik mij soms wat minder goed kan redden met PC-gedoe.

Ik ben een monteur, en ook nog een verrekt goeie monteur, mede doordat ik vaak nogal rechtlijnig handel, werk of redeneer.

Daardoor durf ik gerust te beweren; dat ELK elektrisch apparaat zowieso een aan/uit knop heeft.
Daarnaast heeft ELK elektrisch apparaat ook nog een zeer effectieve kill-switch.
Die kill switch kan men vinden wanneer men de voedingskabel volgt richting de muur van de woning, (in mijn geval dan).

Plop, stekker eruit; klaar. Bye Bye scamsite of vervelende pop-ups, of wat dan ook.
NIET de meest wenselijke manier om een PC af te sluiten, maar wel de meest effectieve wijze om van zo'n vervelende melding verlost te raken.

In het geval van bijvoorbeeld een laptop of tablet of smartphone; accu eruit halen, klaar.

Voor de ouderwetse schijven niet erg bevordelijk, maar voor de SSD drives mag er naar mijn mening geen schade ontstaan.

Het bovenstaande is nog geen stap richting het verwijderen van eventuele malware of aanverwante schadelijke software.
Maar bij de eerstvolgende koude start zal het voor een oplettend persoon vlot genoeg duidelijk moeten kunnen zijn of er wel of niet een infectie heeft plaatsgevonden.

Mijn manier van zeker weten dat ik een schone PC heb is het eens in de zoveel tijd de gehele hardeschijf fysiek VERVANGEN door een compleet nieuwe, en ZEKER wanneer ik een sterk vermoeden heb dat mijn PC ''ziek'' is.

Even een vergelijk; 50 tot hooguit 100 euro voor een nieuwe schijf tegenover de kans dat eventueel gevoelige info buit wordt gemaakt.
In het ergste geval wordt je bankrekening geplunderd of er zou nog identiteitsfraude kunnen plaatsvinden.

Dan is 50 - 100 euro toch een lachertje? Dit geld gaat dan toch ook al niet naar de crimineel; altijd goed toch?

Wat ik ook zowieso NOOIT doe is de PC, OF; een website mijn inlog-gegevens laten onthouden.
Altijd alles ELKE keer opnieuw intikken, en ZEER lastige passwords en/of ongebruikelijke gebruikersnamen kiezen.

Uiteraard zijn er meerdere wegen naar Rome.
Maar in ieder geval is voorspelbaar handelen altijd funest, 100/100.

Er zijn namelijk genoeg mensen die veel van de computer ''dingetjes'' niet kunnen bevatten.

Rest mij alleen nog te hopen dat ik nu niet door de ''nerds'' wordt afgeschoten doordat ik hun iets nieuws heb verteld.
Dat laatste was een poging tot humor binnen een toch wel erg serieus onderwerp.
Ik dank u allen.
08-02-2018, 08:58 door Anoniem
Door Anoniem: Mooi voorbeeld uit dat verhaal: "scope.tld" en "?????.tld". Die zijn niet hetzelfde (westers en cyrillisch schrift) en worden in de adresbalk van de browser weergegeven zoals je ze ziet.
Kennelijk vervang security.nl unicode-tekens door vraagtekens in de definitieve weergave maar niet in de preview. Er leek twee keer "scope.tld" te staan.
08-02-2018, 10:55 door Anoniem
Door Anoniem:
Door Anoniem: Alhoewel ik het met je eens ben, dat dit basiskennis zou moeten zijn,
Dat die basiskennis ontbreekt bij veel mensen wil niet zeggen dat het geen basiskennis is. Je hebt het keihard nodig om veel voorkomende situaties te kunnen beoordelen. Dan is het basiskennis.

Het probleem zit hem vooral in de neiging van veel IT'ers om dit probleem totaal verkeerd te benaderen.
"je ziet toch waar er een . staat en waar een / en dat is basiskennis!!".
Dat ziet een gebruiker zo niet, en dat ga je ook niet veranderen. Het is zo gemaakt en dat was dom (een DNS naam
had andersom geschreven moeten worden dus niet www.security.nl maar nl.security.www dan was het veel gemakkelijker
geweest) maar nu kun je die domme beslissing niet gaan afwentelen op gebruikers als zijnde "basiskennis".

Het is ook een probleem dat de internet standaarden ontworpen zijn in een omgeving waar men het beste met elkaar
voorheeft en nu wordt ingezet in de maatschappij, waar je ook elementen hebt die de boel willen verzieken. Daar is
in het ontwerp nooit rekening mee gehouden en daardoor kreeg je problemen als SPAM, inbreken in servers, DDoS
en verzieken van de systemen van de gebruikers. En, helaas, mensen die het WEL nuttig en goed willen gebruiken
worden daarmee het slachtoffer van de kwaadwillenden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.