image

KPN ziet toename van klanten met sms-piek door FluBot-malware

woensdag 26 mei 2021, 14:51 door Redactie, 19 reacties

Het aantal KPN-klanten dat met een piek in het sms-gebruik te maken kreeg is vorige week na de uitbraak van de FluBot-malware sterk gestegen, zo laat de telecomprovider tegenover Security.NL weten. Daarnaast gebruikt de malware nu ook WhatsApp om Nederlandse Androidgebruikers te infecteren. KPN is begonnen om klanten die vermoedelijk met de FluBot-malware besmet zijn proactief te waarschuwen.

Vorige week berichtte Security.NL al over de FluBot-malware, die ontwikkeld is om gegevens voor internetbankieren en creditcardgegevens te stelen. De malware verstuurt vanaf besmette Androidtelefoons sms-berichten die van DHL afkomstig lijken. In het bericht wordt gesteld dat de ontvanger zijn pakket kan volgen door een app te installeren. Standaard staat Android het installeren van apps van buiten de Google Play Store niet toe. De website die de malafide app aanbiedt bevat echter instructies waarin wordt uitgelegd hoe slachtoffers de beveiligingsmaatregel kunnen uitschakelen.

Eenmaal geïnstalleerd downloadt de FluBot-malware van een server een lijst met telefoonnummers om sms-berichten naar toe te sturen. Daarnaast wordt het adresboek van het besmette toestel naar de server geüpload, waardoor contacten van de besmette gebruiker uiteindelijk ook het malafide sms-bericht ontvangen. Normaliter ziet KPN een handvol klanten op een dag die met een sms-piek te maken krijgen. Vorige week na de uitbraak van de FluBot-malware waren dat er bijna vijfhonderd.

"Klanten die te maken hebben gehad met een FluBot-malware kunnen te maken krijgen met hogere bundelkosten. Wanneer er bij klanten een sms-piek ontstaat, ontvangen zij direct een bericht van ons. Daarna kan KPN de klant verder helpen door te onderzoeken hoe verder te handelen. Een groter probleem is dat deze FluBot-malware kan beschikken over informatie van de gebruiker die gebruikt kan worden om fraude mee te plegen", zegt woordvoerder Gerd De Smyter tegenover Security.NL.

De telecomprovider waarschuwde op de eigen website dat klanten door de FluBot-infectie met hogere telefoonrekeningen te maken kunnen krijgen, maar is nog niet bekend met gevallen waar dit daadwerkelijk het geval is. Ook hebben klanten nog geen andere schade als gevolg van de malware gemeld. De Smyter merkt op dat KPN wel kosten door de malware maakt, zoals het versturen van de sms-berichten en het voorlichten en waarschuwen van klanten. "De veiligheid van klanten staat voorop, maar het is ook in ons belang dat dit zo snel mogelijk de kop wordt ingedrukt."

Aan de hand van de waargenomen sms-pieken, informatie van de abusedesk en andere tooling waarschuwt KPN de eigen klanten die vermoedelijk met de FluBot-malware besmet zijn geraakt. Deze klanten ontvangen een e-mail met verdere informatie. "Je moet de sneeuwbal stoppen", zegt Oscar Koeroo van het KPN CISO Office. Hij benadrukt dat klanten alleen apps uit de officiële appstore of Mobile Device Management tooling van de werkgever moeten installeren en niet vanuit onbekende bronnen.

Image

Reacties (19)
26-05-2021, 15:08 door Anoniem
Zou de heer Koeroo al van het bestaan van https://www.F-Droid.org/ weten? En dat dit veel veiliger is dan de Play Store.
26-05-2021, 16:44 door Anoniem
Door Anoniem: Zou de heer Koeroo al van het bestaan van https://www.F-Droid.org/ weten? En dat dit veel veiliger is dan de Play Store.

Of F-droid veiliger is, kun je over twisten. Dat F-droid voor veel leveranciers van apps geen optie is, gezien de stricte eisen gesteld aan het open-source zijn van de daar gepubliceerde apps lijkt mij zeer duidelijk. Met name banken-apps zijn op vele manieren beveiligd, en ja, een deel daarvan is security through obscurity, maar alleen daardoor is het nog enigszins mogelijk een beetje veilige app te maken.
26-05-2021, 17:09 door Anoniem
Op de webpagina van DHL staat nu ook een waarschuwing (voor hen die een pakket verwachten)

De tekst luidt:
Let op! Er zijn gevaarlijke sms'jes in omloop waarbij de afzender zich voordoet als DHL. Je wordt gevraagd een tracking app te downloaden. Klik niet op de link en open geen bijlagen.
26-05-2021, 18:27 door Anoniem
Betaalvereniging Nederland zegt dat eind vorige week in 24 uur tijd duizenden telefoons met succes zijn besmet en dat er iedere dag weer nieuwe gevallen bij komen. De Fraudehelpdesk.NL kreeg deze maand meer dan 2000 meldingen van mensen die zo'n sms hadden gekregen. In april waren het nog minder dan 100 meldingen.

https://nos.nl/artikel/2382399-duizenden-nederlanders-hebben-virus-op-hun-mobiel-na-valse-sms-over-pakketje
27-05-2021, 08:08 door Anoniem
Er is er een zekere manier om er vanaf te komen: de telefoon terugzetten op de fabrieksinstellingen. "Dan ben je wel alles kwijt", waarschuwt de Fraudehelpdesk.NL "We raden mensen ook altijd aan om back-ups te maken van de gegevens op hun telefoon. Of anders een specialist erbij te halen."

https://nos.nl/artikel/2382466-politie-en-fraudehelpdesk-druk-met-android-malware-dit-is-iets-nieuws-iets-anders
27-05-2021, 08:17 door Anoniem
Standaard werkt het niet op Android:

Standaard staat Android het installeren van apps van buiten de Google Play Store niet toe. De website die de malafide app aanbiedt bevat echter instructies waarin wordt uitgelegd hoe slachtoffers de beveiligingsmaatregel kunnen uitschakelen.

Tenzij je dus applicatie installeren toestaat buiten de Google Store...
Als je dit soort zaken configureert, of zelfs deze instructie uitvoert om dit voor elkaar te krijgen...
Dan zegt dit ook wat over de eindgebruiker...

Dus het is niet simpel alleen op de link klikken, er komen nog extra stappen daarna die mensen uitvoeren.
27-05-2021, 09:20 door Anoniem
Zou de heer Koeroo al van het bestaan van https://www.F-Droid.org/ weten? En dat dit veel veiliger is dan de Play Store

Geef eens inhoudelijke onderbouwde argumenten waarom de F-Droid Store veiliger zou zijn, dan de Play Store ?
27-05-2021, 09:37 door Anoniem
"Je moet de sneeuwbal stoppen", zegt Oscar Koeroo van het KPN CISO Office.
Nou, steek dan even de handen uit de mouwen Oscar en zorg dat er een filter in het SMS systeem wordt gezet wat deze SMSjes tegenhoudt voor ze (tegen kosten) verzonden worden!
Daarmee help je je eigen klanten, en tevens bescherm je de rest van de mensen tegen deze berichten waar ze mogelijk mee aan de slag gaan en ook besmet raken.

En nou niet zeiken dat dat "niet mag" ofzo. Dat is alleen maar een gemakkelijke uitweg om niks te doen, die de telecom bedrijven er altijd bij slepen als er misbruik gemaakt wordt van hun systemen en ze geen zin hebben om in actie te komen.
27-05-2021, 09:38 door Anoniem
Door Anoniem: Standaard werkt het niet op Android:

Standaard staat Android het installeren van apps van buiten de Google Play Store niet toe. De website die de malafide app aanbiedt bevat echter instructies waarin wordt uitgelegd hoe slachtoffers de beveiligingsmaatregel kunnen uitschakelen.

Tenzij je dus applicatie installeren toestaat buiten de Google Store...
Als je dit soort zaken configureert, of zelfs deze instructie uitvoert om dit voor elkaar te krijgen...
Dan zegt dit ook wat over de eindgebruiker...

Dus het is niet simpel alleen op de link klikken, er komen nog extra stappen daarna die mensen uitvoeren.
Dit soort geintjes heb ik ook zien langskomen bji malware die zich via Word documenten verspreid: instructies om een versleuteld bestand te openen (op die manier vliegt het bestand onder de radar van de anti-virus), en daarna instructies om een macro uit te voeren. Tsja, het houdt ergens op, daar is geen beveiliging tegen opgewassen.
27-05-2021, 09:41 door Anoniem
Door Anoniem:
Dus het is niet simpel alleen op de link klikken, er komen nog extra stappen daarna die mensen uitvoeren.
Dat is heel vaak zo, maar later gaan "de mensen" ontkennen dat ze dit aangepast hebben en dat ze toch benadeeld zijn, en dan gaan ze van de betrokken bedrijven (telecom provider, bank) eisen dat die hun schade vergoedt.
Zo gaat dat iedere keer, en als het niet meteen lukt gaan ze er mee dreinen in de media (Kassa, Radar, etc) en/of bij de politiek, en dan lukt het alsnog.
Ik denk dat het dit keer ook weer helemaal bij de telecom providers (die de SMS kosten moeten retourneren) en de banken (die evt gepleegde fraude moeten vergoeden) komt te liggen. Daarom is er ook geen motivatie om voorzichtig te zijn of zich in de materie te verdiepen.
27-05-2021, 09:54 door Anoniem
Er is er een zekere manier om er vanaf te komen: de telefoon terugzetten op de fabrieksinstellingen. "Dan ben je wel alles kwijt", waarschuwt de Fraudehelpdesk.NL "We raden mensen ook altijd aan om back-ups te maken van de gegevens op hun telefoon. Of anders een specialist erbij te halen."

Daar staat ook.

Maar het is voor alles nooit verstandig om op linkjes in sms'jes over postbestellingen te klikken. "Als je iets bestelt krijg je bijna altijd een bevestigingsmail met een link om je bestelling te volgen. Gebruik die, want je weet niet waar zo'n sms'je vandaan komt."

Dit lijkt mij geen goed advies, volgens mij kun je beter naar de website van post bedrijf gaan en zelf de code intypen.
27-05-2021, 12:37 door Anoniem
Door Anoniem:
Er is er een zekere manier om er vanaf te komen: de telefoon terugzetten op de fabrieksinstellingen. "Dan ben je wel alles kwijt", waarschuwt de Fraudehelpdesk.NL "We raden mensen ook altijd aan om back-ups te maken van de gegevens op hun telefoon. Of anders een specialist erbij te halen."

https://nos.nl/artikel/2382466-politie-en-fraudehelpdesk-druk-met-android-malware-dit-is-iets-nieuws-iets-anders

Opmerkelijk dat er hier kennelijk een gebruiker nog steeds last heeft van de uitgaande smsjes na een factory reset. Als dat waar is vraag ik me af hoe je er dan vanaf kan komen.

Oswald
27-05-2021, 15:46 door Anoniem
Tja, ik heb dit al lang geleden zien aankomen, en vertik het om een smartphone te gebruiken. Wij werfken nog steeds met Nokia 6310i, die zelfs nog nieuw en anders refurbished zijn te krijgen. "Wij zijn overgestapt naar de status van online bank en dus moet je onze app downloaden." Met die redenering is KNAB een aantal klanten kwijtgeraakt.

Overigens hebben wij de functionaliteit van een smartphone nooit gemist, in tegendeel.
27-05-2021, 15:58 door Anoniem
Door Anoniem:
Zou de heer Koeroo al van het bestaan van https://www.F-Droid.org/ weten? En dat dit veel veiliger is dan de Play Store

Geef eens inhoudelijke onderbouwde argumenten waarom de F-Droid Store veiliger zou zijn, dan de Play Store ?
Deelt geen data met Google.
27-05-2021, 17:25 door Anoniem
Door Anoniem: Tja, ik heb dit al lang geleden zien aankomen, en vertik het om een smartphone te gebruiken. Wij werfken nog steeds met Nokia 6310i, die zelfs nog nieuw en anders refurbished zijn te krijgen. "Wij zijn overgestapt naar de status van online bank en dus moet je onze app downloaden." Met die redenering is KNAB een aantal klanten kwijtgeraakt.

Overigens hebben wij de functionaliteit van een smartphone nooit gemist, in tegendeel.

Goed van jou zeg, er zijn zelfs mensen die geen TV of internet hebben en ook niks missen, wat zeg ik er zijn mensen die helemaal geen telefoon hebben.

Maar er zijn ook mensen die die behoefte wel hebben en moeten zelf de voor- en nadelen tegen elkaar afwegen.
27-05-2021, 17:28 door Anoniem
Door Anoniem:
Door Anoniem:
Zou de heer Koeroo al van het bestaan van https://www.F-Droid.org/ weten? En dat dit veel veiliger is dan de Play Store

Geef eens inhoudelijke onderbouwde argumenten waarom de F-Droid Store veiliger zou zijn, dan de Play Store ?
Deelt geen data met Google.

Dus zonder het gebuik van de Play Store deelt jouw Android telefoon geen data met Google?

ROFL
27-05-2021, 21:14 door Anoniem
Door Anoniem: Opmerkelijk dat er hier kennelijk een gebruiker nog steeds last heeft van de uitgaande smsjes na een factory reset. Als dat waar is vraag ik me af hoe je er dan vanaf kan komen.

Toch geklikt en de malware op uw telefoon geïnstalleerd?

Neem zo snel mogelijk contact op met uw provider of telefoonaanbieder om verdere schade te voorkomen. Heeft u financiële schade? Doe altijd aangifte. Bel ook direct uw bank. Volg de aanwijzingen van de bankmedewerker.

https://www.politie.nl/nieuws/2021/mei/27/00pas-op-misleidende-smsjes-over-postpakketten.html
27-05-2021, 23:20 door Anoniem
Hier is de catch.

Telecom security is een grap en aanvallers zijn slim genoeg om binnenlandse targeted phishing (smishing) aanvallen er uit te laten zien als buitenlandse "massa smishing" campagnes. Terwijl ze, slim genoeg zijn om bij ontvangst van een pakket de smishing te kunnen sturen. En vermoedelijk heeft onze IT/Politie/Politieke sector geen enkel idee. Ik hoop dat dat beter zit bij ons bizz en buzz...

Ow en ik? Ik vindt het gewoon leuk om wespen aan te trekken en pissig te houden.
28-05-2021, 12:56 door Anoniem
Door Anoniem:
"Je moet de sneeuwbal stoppen", zegt Oscar Koeroo van het KPN CISO Office.
Nou, steek dan even de handen uit de mouwen Oscar en zorg dat er een filter in het SMS systeem wordt gezet wat deze SMSjes tegenhoudt voor ze (tegen kosten) verzonden worden!
Daarmee help je je eigen klanten, en tevens bescherm je de rest van de mensen tegen deze berichten waar ze mogelijk mee aan de slag gaan en ook besmet raken.

En nou niet zeiken dat dat "niet mag" ofzo. Dat is alleen maar een gemakkelijke uitweg om niks te doen, die de telecom bedrijven er altijd bij slepen als er misbruik gemaakt wordt van hun systemen en ze geen zin hebben om in actie te komen.

Misschien handig om eerst je te verdiepen in de materie en dan pas reageren. Ik zeg alleen AVG en ACM.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.