image

Politiediensten halen phishing-as-a-service platform LabHost offline

donderdag 18 april 2024, 09:29 door Redactie, 6 reacties

Politiediensten, waaronder ook de Nederlandse politie, hebben tijdens een internationale operatie het phishing-as-a-service platform LabHost offline gehaald. In Nederland zijn vijf verdachten aangehouden. Via het platform konden criminelen uit allerlei soorten phishingsites kiezen, bijvoorbeeld voor banken, bezorgdiensten en telecombedrijven. De phishingsites waren via een paar clicks aan te passen en uit te rollen. Het platform rekende een bedrag van 249 dollar per maand.

Volgens Europol zijn minstens veertigduizend phishingdomeinen aan LabHost gelinkt. Het platform zou zo'n tienduizend gebruikers hebben gehad. "Wat LabHost met name schadelijk maakte was de geïntegreerde campagnemanagementtool genaamd LabRat", aldus Europol. Via deze tool konden aanvallers hun phishingaanvallen in real-time monitoren en beheren. De tool was bedoeld voor het onderscheppen van tweefactorauthenticatie (2FA) codes. Tijdens het onderzoek wisten de autoriteiten de infrastructuur van LabHost te compromitteren en het domein in beslag te nemen, zo laat Europol verder weten.

De Britse politie laat weten dat zo'n zeventigduizend Britse slachtoffers hun inloggegevens op phishingsites van LabHost hebben ingevoerd. Wereldwijd zou het platform bijna een half miljoen creditcardgegevens hebben verkregen, 64.000 pincodes en meer dan een miljoen wachtwoorden gebruikt voor websites en andere diensten. De Britse politie heeft inmiddels 25.000 mensen in het Verenigd Koninkrijk gewaarschuwd dat ze slachtoffer zijn geworden.

Reacties (6)
18-04-2024, 09:38 door Erik van Straten
De tool was bedoeld voor het onderscheppen van tweefactorauthenticatie (2FA) codes.
Plus user-ID en wachtwoord!

Beste mensen: gebruik een wachtwoordmanager die de login-gegevens voor een website alleen vrijgeeft als de domeinnaam van de website klopt!

2FA is vooral ballast, het helpt in steeds minder gevallen.
18-04-2024, 09:42 door Anoniem
Wie en wat kun je nog vertrouwen in deze bange digitale tijden?
18-04-2024, 09:43 door Erik van Straten - Bijgewerkt: 18-04-2024, 10:43
Zojuist ben ik ingelogd op security.nl vanaf mijn Android smartphone, als volgt:

1) Ik opende https://security.nl in Firefox (voor Android). Die link had in een phishingmail kunnen staan, en bijvoorbeeld https://securlty.nl kunnen luiden. Sterker, precies zoals Vitens doet [1]: de tekst "boven de link" in de mail had security.nl kunnen luiden, met "daaronder" genoemde link met de iets afwijkende domeinnaam.

Nb. Onder Android heb je geen browser plug-ins/add-ons nodig om bijv. KeePassDX te kunnen gebruiken. Die wachtwoordmanager werkt automatisch in elke webbrowser die ik gebruik (Chrome, Firefox Nightly en Firefox Focus).

2) Ik drukte rechtsboven op "Inloggen" waarna een inlog-dialoogbox (een pop-up venster met invulvelden) verschijnt.

3) Als ik in het wachtwoordveld druk, verschijnt een klein pop-up venstertje (met de groene kleur van KeePassDX) met bovenin "www.security.nl" en daaronder een "knop" met de tekst "Sign in with KeePassDX". Uit die eerste tekst blijkt dat Android al heeft herkend om welke website, d.w.z. om welke domeinnaam, het gaat, en dat reeds heeft doorgegeven aan KeePassDX.

4) Ik druk op de 'knop" met de tekst "Sign in with KeePassDX".

5) Vervolgens moet ik, in een geheel ander scherm (van KeePassDX, full screen), een wachtwoorddatabase kiezen (zelf heb ik er twee, waarvan ééntje voor tests). Ik kies de gewenste.

6) Er verschijnt het verzoek om de (versleutelde) wachtwoorddatabase te ontgrendelen - met mijn vingerafdruk (effectief is de wachtwoorddatabase versleuteld met een lang wachtwoord, dat -effectief- veilig in hardware van mijn Android smartphone is opgeslagen). Met mijn vingerafdruk geeft Android dat lange wachtwoord vrij, waarmee de database wordt intgrendeld). Ik leg mijn vinger op de vingerafdrukscanner, met succes.

7) Vanuit het andere scherm ben ik weer terug in de browser met de inlog-dialoogbox van security.nl. Daaronder verschijnt nu een keuzescherm, ik kan kiezen om in te loggen als:
• Onbekend (test) (Onbekend (test))
• Erik van Straten @ security.nl (E<geheim>@xs4all.nl)

Die bovenste regel heb ik voor tests gebruikt, maar had ook een echt tweede account kunnen zijn. Nb. je ziet achtereenvolgens de accountnaam op de site, en het gebruikte user-ID, meestal jouw e-mailadres.

8) Ik druk op de onderste regel: dan vult KeePasdDX automatisch beide velden in, en maakt (ter verduidelijking) de achtergrond van die velden geel.

9) Als ik nu op de knop "Inloggen" druk, ben ik ingelogd op security.nl.

Klinkt moeilijk, is dat niet: met een paar keer drukken en een vingerafdruk ben ik ingelogd op de juiste website.

Herkennen van nepsites
Als ik op een site, waarop ik géén account heb, op zo'n wachtwoordveld druk, verschijnt ook een popup van KeePassDX, ook met vermelding van de domeinnaam. Als ik dezelfde procedure volg in KeePassDX, moet ik echter gaan zoeken in de database naar "passende inloggegevens".

Dat moet een rode vlag zijn!

De domeinnaam is namelijk onbekend in de wachtwoordmanagerdatabase, de kans is maximaal dat je op een nepsite probeert in te loggen. Dat is het moment om te stoppen!

[1] https://www.security.nl/posting/837529/Vitens%3A+AVG%3F+Lets+phish%21
18-04-2024, 10:26 door Anoniem
Oplichters zonder technische vaardigheden konden kiezen uit bestaande sites of op maat gemaakte neppagina's:

The Fall of LabRat: Law Enforcement Shuts Down Phishing Service Provider
https://www.trendmicro.com/fr_fr/research/24/d/labhost-takedown.html

Wereldwijd zijn er 37 mensen gearresteerd. De vijf Nederlandse arrestanten komen uit Leeuwarden, Papendrecht, Woudenberg en Vleuten en zijn tussen de 21 en 36 jaar oud. Naast die aanhoudingen heeft de politie ook twee 'stopgesprekken' gevoerd met gebruikers van de site. De politie sluit meer acties niet uit.

https://nos.nl/artikel/2517210-internationaal-phishing-netwerk-opgerold-vijf-arrestaties-in-nederland
18-04-2024, 17:15 door Anoniem
De Britten wisten LabHost te infiltreren en konden vervolgens verdachten identificeren binnen dit criminele circuit. Het platform werd onderbroken, waarna de autoriteiten 800 gebruikers lieten weten dat ze waren ontmaskerd. Dit gebeurde door reguliere LabHost-berichten om te zetten naar een melding van de politie. De leden kregen details te zien over hoeveel ze LabHost hadden betaald, welke andere sites ze hadden bezocht en hoeveel data er met hen gedeeld was.

Operation PhishOFF
Hoe ging Phishing-as-a-Service-groep LabHost te werk?

https://www.techzine.nl/blogs/security/544684/hoe-ging-phishing-as-a-service-groep-labhost-te-werk/
19-04-2024, 08:04 door Anoniem
Als je een maning krijgt via mail te betalen voor een McAfee abonnement, dat verlopen is.
En je hebt nooit een betaald McAfee abonnement gehad, ben je maf als je zo'n mailtje niet snel weggooit.
Je krijgt er later wellicht nog drie toegestuurd.

De cybercrimineel speculeert of iemand later een abonnement heeft genomen
op de av, die op het device stond bij aankoop.

Maar denk je pas, nadat je geklikt hebt, nou ja. Eigen schuld, dikke bult.
Trouwens er wordt m.i. weinig aandacht besteed aan cybercrime ook door de handhavende diensten.

Er zou een dienst IT-handhaving moeten komen.
Er zitten genoeg black hats thuis of op het werk rijp om op te pakken.

Ze kunnen heel lang doorgaan met hun cybercriminele activiteiten eer het opvalt.
Maar ook kunnen de handhavers soms worden betaald om cybercrime niet in de weg te zitten.
Je knijpt dan een oogje toe, begrijp je wel of het is ineens een "statelijke actie".

Bovenstaande zal wel niet geplaatst worden, denk ik, te waarheidsgetrouw. ;)

luntrus
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.