image

Trezor Wallet doelwit van phishingaanval via dns of bgp

maandag 2 juli 2018, 11:40 door Redactie, 2 reacties

Aanvallers zijn er dit weekend in geslaagd om gebruikers van de Trezor Wallet-website een phishingsite voor te schotelen, wat vermoedelijk via dns poisoning of bgp hijacking is gedaan. Dat heeft het ontwikkelteam bekendgemaakt. De Trezor Wallet is een apparaat voor het opslaan van cryptovaluta.

Dit weekend kregen gebruikers bij het bezoeken van de officiële domeinnaam wallet.trezor.io een certificaatwaarschuwing te zien. De website maakte van een ongeldig ssl-certificaat gebruik. Het bleek te gaan om een phishingsite die gebruikers vroeg hun "recovery seed" te herstellen. Daarnaast werden gebruikers gevraagd om hun ordernummer en recovery seed in te voeren. Volgens Trezor Wallet was ook dit een duidelijke waarschuwing dat er iets mis was, aangezien gebruikers wordt geïnstrueerd om nooit hun ordernummer en recovery seed op een computer in te voeren.

Met de gegevens hadden de aanvallers toegang tot opgeslagen cryptovaluta kunnen krijgen. Of en hoeveel slachtoffers er zijn gemaakt laat het ontwikkelteam niet weten. Hoe de aanvallers het voor elkaar kregen om op de officiële domeinnaam een phishingsite te tonen is ook nog onbekend, maar het ontwikkelteam gaat uit van dns poisoning of bgp hijacking. Via beide aanvallen kan een aanvaller de domeinnaam naar een ander ip-adres laten wijzen. Het onderzoek loopt echter nog. De phishingsite is uit de lucht gehaald.

Image

Reacties (2)
02-07-2018, 16:27 door Anoniem
Indien dit BGP hijacking was, hadden ze wat beter/stealthier hun werk moeten doen. Het is nog steeds "erg makkelijk" om een BGP op te zetten en vervolgens via een "niet dns-01" ca-request een geldig certificaat te verkrijgen. Op dit moment staan de meeste CA's het nog steeds toe/controlleren CA's bgp-session-duration / advertisements niet.

CAA, DNSSEC, DANE (TLSA), HSTS, KeyPinning, EV certificaat etc. en het liefts keyless-signing op de webservers, juist bij dit soort websites, had een heleboel kunnen verhelpen/tegen gaan. Op het wachten van EV-verificatie na, kan je bovenstaande binnen een paar uur makkelijk automatiseren / configureren.

//Angelique
03-07-2018, 08:48 door Bitwiper - Bijgewerkt: 03-07-2018, 08:54
Door Anoniem: CAA, DNSSEC, DANE (TLSA), HSTS, KeyPinning, EV certificaat etc. en het liefts keyless-signing op de webservers, juist bij dit soort websites, had een heleboel kunnen verhelpen/tegen gaan.
Onzin. En wie weet heeft Trezor Wallet alles wat jij noemt al geïmplementeerd.

Echter: NIETS van dat alles heeft zin als gebruikers certificaatwaarschuwingen negeren (bij deze aanval is een self-signed certificaat gebruikt).

Het ENIGE dat bij exact dit soort aanvallen helpt is gebuikers opvoeden. Zij zouden m.i. achtereenvolgens moeten nagaan:
1) Vertrouw ik -op dit moment nog- de organistatie "Trezor Wallet" en iedereen (al dan niet direct in dienst bij die club) met toegang tot mijn data?
2) Is wallet.trezor.io een domeinnaam van de organisatie "Trezor Wallet"? En als ik niet precies weet welke subdomeinen die organisatie heeft, is dan op z'n minst "trezor.io" een geldig domein van die organisatie? En word ik niet oo het verkeerde been gezet met tresor.io of trezor.net o.i.d? Dubbelchecken dus!
3) Begint de URL in mijn browser met https://wallet.trezor.io/?
4) Zijn er geen certificaatwaarschuwingen of -foutmeldingen?

Als aan de eerste drie bovenstaande voorwaarden is voldaan maar niet aan 4, zouden ervaren gebruikers nog kunnen checken wat er mis is met het certificaat (met name "gisteren verlopen") maar dat raad ik af. Als dit soort organisaties hun certificaten niet op tijd vernieuwen, zijn het prutsers en kun je na de afweging bij punt 1 het beste stoppen.

Pas als aan alle 4 de bovenstaande voorwaarden is voldaan heeft het zin om enkele van de door jou genoemde maatregelen toe te passen.

Persoonlijk zou ik beginnen met een EV certificaat (en nee, ik verkoop die dingen niet) waarna de bezoeker zich zou moeten afvragen:
5) Had de site eerst wel een EV certificaat, en nu niet?
Helaas kun je dit, voor zover ik weet, nog niet afdwingen met technische middelen zoals HSTS, en het zou fraai zijn als bijv. HSTS, vergelijkbaar met DMARC, spoofing aan de echte domeineigenaar zou melden.

Punt 5 is geen simpele opgave als de gebruiker de site niet vaak bezoekt. Overigens vind ik dat alle overheidswebsites EV-certificaten zouden moeten gebruiken, want dan kun je aan burgers vragen om te checken of de overheidssite die zij bezoeken, een EV certificaat heeft. En te stoppen (en alarm te slaan) als dat niet zo is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.