Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Opmerkelijke phishing/vishing

14-07-2023, 16:37 door Erik van Straten, 7 reacties
'iCloud-opslag vol'
In maart was er een golf aan phishing-mails over dat jouw iCloud opslag vol zou zitten (voorbeeld: [1]). Ook waren er nepmeldingen dat een wachtwoordreset nodig zou zijn, of dat je foto's kwijt zou kunnen raken door het (op 26 juli a.s.) door Apple uitzetten van "Mijn fotostream" ([2]). Die laatste bangmakerij zou wel eens toe kunnen nemen nu die datum nadert.

De Duitse Politie in Niedersachsen waarschuwt ([3], bron: [4]) nu voor een nieuwe golf aan phishing-berichten met links naar nepwebsites (die sterk op icloud.com kunnen lijken), waarop je extra opslagruimte zou kunnen kopen. Trap er niet in, want naast dat dan jouw Apple ID (je iCloud-account) wordt overgenomen (met vaak enorme impact) wordt ook je credit-card misbruikt (geld krijg je wellicht terug, maar een geblokkeerde creditcard kort voor je vakantie kan vervelend zijn).

itsme-phishing: e-mailadres safeonweb.be misbruikt?
Bij het zoeken naar voorbeelden van iCloud-phishing vond ik toevallig een pagina over een heel ander onderwerp: "Opgepast voor bericht dat van SafeOnWeb lijkt te komen", betreffende 'Tijdelijke blokkade op uw eID' (itsme) [5]. SafeOnWeb.be lijkt vergelijkbaar met de Nederlandse Fraudehelpdesk.nl.

Opmerkelijk daarbij is de getoonde afzender:
"Noreply" <mailnoreply@safeonweb.be>
Dat is opvallend, want SPF en DMARC staan streng ingesteld voor deze site. Als mensen die mail ontvangen, checkt hun mail-provider dus niet goed op die protocollen (outlook.com?).

Overigens resolvde de phishing-website-domeinnaam gisteren al niet meer. Wel heeft Let's Encrypt er een certificaat voor afgegeven, maar dat exemplaar is nog zonder CT (Certificate Transparency) signature [6].

Geraffineerde Android vishing-operatie
ThreatFabric schreef vorige week ([7], bron: [8]) "Letscall – new sophisticated Vishing toolset".

Hierbij wordt de user verleid om een kwaadaardige app te installeren die aanvullende malware nalaadt. Door de gebruiker over te halen om rechten voor de Android "Accessibility service" toe te staan, neemt de malware effectief je hele toestel over (het is een PEBSAU - Problem Exists Between Smartphone And User - een Attacker in the Middle dus). Die software kan namelijk "boven" apps laten zien wat het wil en desgewenst alle invoer afluisteren, wijzigen en/of omleiden naar een andere app.

Er wordt een lokale webserver geïnstalleerd om de gebruiker verder te misleiden. Onder de zeer uitgebreide functionaliteit zit een nep-telefoon app waarnee je zogenaamd met je bank kunt bellen, waarbij je vervolgens lokaal geïnstalleerde MP3'tjes met "dialtones" en gesproken keuzemenu's te horen kunt krijgen. Affijn, ik vond dit een lezenswaardig artikel.

Overigens zou deze groep cybercriminelen momenteel nog in zuid-oost Azië opereren, maar gezien de professionele opzet zou het de auteurs van ThreatFabric niet verbazen als deze bende hun "product" als MaaS (Malware as a Service) zal aanbieden - waarna dit ook in westerse landen tot slachtoffers zou kunnen leiden.

Sowieso verwacht ik steeds meer van dit soort aanvallen, naarmate meer westerse overheden burgers overhalen om "online authenticatie wallets" (zoals itsme, zie vorige item) in hun smartphones te zetten, uit de Conclusions van ThreatFabric:
Resident registration number (or ID) theft is able to open many doors for cybercriminals, and we see this attack vector only increase with the adoption of more and more electronic ID solutions by governments and both private and public institutions.
Wordt (ongetwijfeld) vervolgd...

Referenties
[1] https://www.macfreak.nl/vragen-algemeen/uw-icloud-is-vol-valse-e-mail/

[2] https://support.apple.com/nl-nl/HT201317

[3] https://www.polizei-praevention.de/aktuelles/phishing-und-abofallen-mit-gefaelschten-icloud-mails.html

[4] https://www.golem.de/news/polizei-warnt-phishing-mails-locken-mit-guenstigem-icloud-upgrade-2307-175806.html

[5] https://www.safeonweb.be/nl/actueel/opgepast-voor-bericht-dat-van-safeonweb-lijkt-te-komen

[6] https://crt.sh/?q=urbueniubeddm.com

[7] https://www.threatfabric.com/blogs/letscall-new-sophisticated-vishing-toolset

[8] https://www.heise.de/news/Vishing-Betrueger-arbeiten-mit-raffinierter-Voice-Phishing-Masche-9212374.html
Reacties (7)
14-07-2023, 17:50 door Anoniem
Identity Theft, je data versleutelen, je rekeningen leegtrekken, je device misbruiken als een zombie zodat de autoriteiten bij jouw deur aankloppen, noem maar op, het is inmiddels een miljardenindustrie geworden, met hoge winstmarges voor weinig inspanning en een zeer lage pakkans met hooguit fopstraffen. Ga er dus maar van uit dat de aanvals- en misbruiktechnieken alleen maar in omvang en geraffineerdheid zullen toenemen. Helemaal als het gros EU ID, waar zo'n beetje je hele hebben en houwen aan vast moet gaan zitten op den duur, gaat installeren (in plaats van een apart device dat enkel en alleen voor dat doel gebruikt wordt, en in een skim vrij hoesje wordt gestoken, of beter nog, helemaal niet; laat het maar een grote mislukking worden; mede gezien de reputatie die overheden hebben waar het ICT projecten betreft), dan wordt dat een heel aantrekkelijk doelwit met zeer lucratieve mogelijkheden.

Zoals te doen gebruikelijk zullen niet diegene grondig worden aangepakt die al die ellende veroorzaken (moeilijk, moeilijk, ja maar), maar zij (de rest dus) die er last van (kunnen) hebben wordt aangeraden (voortaan) beter op te letten, niet zo moeilijk te doen en het er vooral niet over hebben.
15-07-2023, 02:41 door Anoniem
Dat soort emailtjes knikker ik ongelezen weg. Nu krijg ik (ook) emailtjes van Google dat mijn opslag vol is. Gaan ook ongelezen linea recta gelijk naar de eeuwige bitvelden.
15-07-2023, 10:38 door Anoniem
Dit soort berichten met inhoud zie ik graag op deze site en dat is ook de reden dat ik hier kom, dank je wel.
16-07-2023, 11:25 door Anoniem
Goed bezig Erik
20-07-2023, 14:06 door Erik van Straten
Sinds 17 juli waarschuwt [3] (bron: [9]) de Duitse Politie in Niedersachsen ook voor phishing-mails die door Google te lijken zijn verzonden, met daarin de melding dat jouw opslag bij Google (Drive) vol zou zitten. Je zou de limiet van 15GB gratis naar 50GB kunnen verhogen - waarbij je wel even met jouw creditcard jouw identiteit moet aantonen. Zie onderaan die pagina voor een screenshot met een voorbeeld van hoe zo'n e-mail eruit kan zien (Duitstalig in dit geval).

Ik zie nog geen Google-nepmails gemeld worden in https://www.fraudehelpdesk.nl/actueel/valse-emails/, maar een gewaarschuwd mens telt voor twee.

Als je een Google-account hebt: door in https://www.google.com/intl/nl/drive/ op "Naar Drive" te drukken (en, zo nodig, in te loggen) en linksboven op het "hamburgermenu" (de 3 horizontale streepjes boven elkaar) te drukken, zie je onderaan het menu hoeveel opslagruimte je in gebruik hebt.

In https://support.google.com/accounts/answer/6294825?hl=nl vind je hulp mocht je denken of vermoeden dat jouw Google-account gehacked is.

[3] https://www.polizei-praevention.de/aktuelles/phishing-und-abofallen-mit-gefaelschten-icloud-mails.html

[9] https://www.heise.de/news/LKA-Niedersachsen-warnt-vor-Phishing-und-Abofallen-mit-iCloud-und-Google-Mails-9220688.html

P.S. ik gebruik "[3]" opnieuw omdat ik dezelfde link bovenaan deze pagina ook al genoemd heb (en ik ga verder met "[9]" omdat ik die nog niet gebruikt heb in deze pagina).
20-07-2023, 16:30 door spatieman
ondertussen wordt er massaal CSS toegepast ,maar dit wordt overgeslagen, want dat valt niet in het regelement
20-07-2023, 20:23 door Anoniem
Door spatieman: ondertussen wordt er massaal CSS toegepast ,maar dit wordt overgeslagen, want dat valt niet in het regelement

Ja, iedereen doel al jaren Cascading Style Sheets op een website.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.