image

Amazon-token Kaspersky gebruikt voor versturen van phishingmails

dinsdag 2 november 2021, 11:46 door Redactie, 6 reacties

Criminelen hebben een legitiem Amazon-token van antivirusbedrijf Kaspersky gebruikt voor het versturen van phishingmails die een Kaspersky-e-mailadres als afzender hadden. Dat heeft de virusbestrijder in een advisory bekendgemaakt. Het ging om een token voor Amazons Simple Email Service (SES). SES is een e-maildienst voor het versturen van bulkmail.

Kaspersky had het legitieme SES-toegangstoken aan een derde partij gegeven die zich bezighoudt met het testen van een Kaspersky-site, die ook bij Amazon wordt gehost. Dit token is gebruikt voor het versturen van phishingmails die zich voordoen als fax-bericht en proberen om inloggegevens voor Office 365 te stelen. Hoe criminelen het token in handen kregen is niet bekend. Nadat de phishingmails werden ontdekt is het token ingetrokken.

De diefstal van het token heeft verder geen gevolgen gehad, aldus Kaspersky. Zo is er geen server gecompromitteerd en heeft er geen ongeautoriseerde databasetoegang of andere malafide activiteit op de geteste website en bijbehorende diensten plaatsgevonden.

Image

Reacties (6)
02-11-2021, 12:59 door Anoniem
Hadden ze hiervoor niet een nieuw token moeten genereren? Hergebruiken van tokens klinkt niet niet als een hele goede oplossing
02-11-2021, 13:03 door Briolet
Ze hebben ook geen goed DMARC beleid. Op hun "kaspersky.com" hebben ze een reject policy staan, maar ze hebben geen policy ingesteld voor subdomeinen.

En deze mail is verstuurd als "sm.kaspersky.com"

Ook al gebruik je geen subdomeinen voor mail, het is altijd verstandig in het hoofddomein een reject in te stellen voor subdomeinen: "p=reject sp=reject". Dat laatste zie ik bar weinig gebeuren en dan kun je altijd nog een subdomein spoofen om betrouwbaar te lijken.
02-11-2021, 13:59 door Anoniem
Door Briolet: Ook al gebruik je geen subdomeinen voor mail, het is altijd verstandig in het hoofddomein een reject in te stellen voor subdomeinen: "p=reject sp=reject". Dat laatste zie ik bar weinig gebeuren en dan kun je altijd nog een subdomein spoofen om betrouwbaar te lijken.
"sp" hoef je alleen te gebruiken als je een afwijkende policy in wilt stellen voor subdomeinen... bijvoorbeeld "p=quarantine sp=reject"
https://datatracker.ietf.org/doc/html/rfc7489#section-6.3
If absent, the policy specified by the "p" tag MUST be applied for subdomains.
Je kunt de "sp" op het hoofddomein weer overrulen door een DMARC policy voor het subdomein te publiceren in DNS.
02-11-2021, 15:29 door Anoniem
Door Anoniem: Hadden ze hiervoor niet een nieuw token moeten genereren? Hergebruiken van tokens klinkt niet niet als een hele goede oplossing
Er staat: "Nadat de phishingmails werden ontdekt is het token ingetrokken." Een ingetrokken token kan NIET hergebruikt worden!
03-11-2021, 00:19 door Anoniem
Door Anoniem:
Door Anoniem: Hadden ze hiervoor niet een nieuw token moeten genereren? Hergebruiken van tokens klinkt niet niet als een hele goede oplossing
Er staat: "Nadat de phishingmails werden ontdekt is het token ingetrokken." Een ingetrokken token kan NIET hergebruikt worden!
Er staat ook: "Kaspersky had het legitieme SES-toegangstoken aan een derde partij gegeven..."
03-11-2021, 04:11 door Anoniem
Dit is al minstens de derde keer dat Kaspersky's mailing lists/systemen worden misbruikt in een heel lange geschiedenis. De eerste keer begin dez eeuw kon zomaar iedereen een bericht sturen, maar dat begrepen ze niet. Er zat gewoon geen beveiliging op.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.