ROFLOL :)

Hahaha, zou zie je maar, zelfs de beste beveiligingsspecialisten kunnen in phishing mail trappen. Ik hoop wel dat ie gaat posten in welke phish hij getuind is.

Geen last van. Ik gebruik TORPEDO addon in Thunderbird.

auch.....

Uiteindelijk is dit het moraal van het verhaal ja.
Ik ben zelf specialist in digitale veiligheid en phishing is tegenwoordig gewoon heel erg goed in elkaar gezet en soms moeilijk van echt te onderscheiden. Als dan de timing en het moment goed is, dan trap je daar gewoon in.

Het zou me in dit geval dan ook niet verbazen als dit om spearphishing is gegaan wat de slaagkans nog vele malen groter maakt.

Het was gebeurd met een mailchimp mailing list of zoiets enfin hij schrijft er zelf over:
https://bsky.app/profile/troyhunt.com

Als je als beveiligingsonderzoeker mailchimp gebruikt kan je sowieso niet serieus genomen worden ... iets wat ik toch al niet deed met HIBP :-)

Dat zou HET moment moeten zijn geweest om de URL in de adresbar te controleren. Als dat al niet gedaan was.

Wat ik heb gelezen heeft hij de waarschuwingen genegeerd door vermoeidheid en aanames.

Zijn password manager deed geen auto aanvulling in zo een geval doe je wat je altijd moet doen je stopt je sessie en je gaat handmatig naar de service toe. Had hij toen opgelet was de aanval niet verder gegaan.

En hoewel ik Troy een goede specialist vindt lees ik ook redelijk wat excusen in zijn blog item waarom het mis kon gaan door dat andere beveiliging maatregelen faalde. Maar heel veel is gewoon slordigheid hij wist niet dat zijn adres lijst nog oude adressen bevatten daar kwam hij nu achter kortom niet een audit op geweest in verleden.
En zo zijn er wel meer punten.

Dus nee moraal is niet dat phising zo goed is dat een expert het niet herkend het moraal is dat als je moe bent en je aandacht er niet goed erbij kan houden *je geen inlog pogingen moet doen*

Dat deed hij. In https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/, onder het plaatje van de phishing-mail met de gele balk bovenin (ook te zien in het redactie-artikel) schrijft hij (ik heb de domeinnaam vetvgemaakt en ".com" daarin vervangen door "·com" om onbedoeld openen te voorkómen):

Dat is precies waarvoor ik waarschuw in o.a. https://security.nl/posting/840236, lees met name punt 5 helemaal:

De nepwebsite https://mailchimp-sso·com wordt "gehost" (feitelijk geproxied) door Cloudflare en heeft een website-certificaat van "Google Trust Services".

Uit https://crt.sh/?q=mailchimp-sso.com&Deduplicate=y kun je afleiden dat https://mailchimp-sso·com tussen 2023-11-11 en gisteren (2025-03-24) geen certificaat had. Wat vaak gebeurt is dat, nadat kwaadaardige websites "uit de lucht" worden gehaald, de bijbehorende domeinnamen in handen van (semi-criminele) domeinnaam-parkeer- en witwas-diensten vallen. Na een tijdje wordt zo'n "gezuiverde" domeinnaam weer aan de meestbiedende crimineel verhuurd.

Een voorbeeld van zo'n witwasservice zie je de RELATIONS tab van https://virustotal.com/gui/ip-address/46.8.227.222/ opent. Als je vaak genoeg op ••• zou klikken (ik heb dat vanmorgen meer dan 500x gedaan), zie je o.a. voorbijkomen:
maar ook vergelijkbare doch deels andere domeinnamen met bewust virusscanners misleidende crap ervoor, zoals (van duizenden):

Die websites tonen onschuldige pagina's met als doel dat geautomatiseerd lerende virusscanners (en blocklist-aanbiedende diensten) zo snel als mogelijk gaan "inzien" dat het "hoofddomein" yahoohelpdesk·com (ook met onschuldige pagina) niet kwaadaardig meer is.

Nb. op dit moment toont https://yahoohelpdesk·com/captcha nog een pagina waarin een "hCaptcha" zou moeten worden ingevuld, maar binnen in de rechthoek daaromheen staat in kleine rode letters: "Account banned, service suspended". In andere van de eerder genoemde "echte nepsites" werkt die captcha nog wel (ook dit is een truc die helpt voorkómen dat virusscanners het kwaadaardige deel van een nepsite kunnen scannen).

Meer over https://mailchimp-sso·com en wat we tegen phishing kunnen en m.i. moeten doen, schreef ik in https://infosec.exchange/@ErikvanStraten/114222237036021070.

#BigTechIsEvil

<quote>Hunt laat vandaag in een blogpost weten dat hij zelf slachtoffer van een phishingmail is geworden die van e-mailmarketingplatform MailChimp afkomstig leek. Volgens het bericht was het versturen van e-mailberichten beperkt en moest hij zijn account controleren. Hunt opende de link die naar een phishingsite wees en logde in met zijn gebruikersnaam en wachtwoord, gevolgd door een 2FA-code.</quote>

Je kan wel nagaan als individeu dat het wat complexer geweest is als dat hierboven beschreven is. Dit is denk ik een onwerkelijke weergave van iemand die beveiligeronderzoeker is. Ik acht hem slimmer dan het verhaal hierboven.

Conclusie, als je gephished wordt heb je dus geen zak aan OTP als 2fa maar moet je gewoon over naar passkeys. Helaas bieden nog veel te weinig bedrijven dat aan dus gelet op de hoeveelheid succesvolle phishing aanvallen op 2fa zullen er eerst veel slachtoffers moeten vallen voordat men doorheeft dat passkeys (U2F/FIDO) de enige manier zijn om dat tegen te gaan.

Als ik Troy zijn verhaal lees dan zie ik toch een aantal rode vlaggen die hij toch genegeerd heeft. Sowieso de e-mail zelf, een typisch voorbeeld van het creeren van een noodzaak om in te loggen, ik kan me niet voorstellen dat Mailchimp ooit zo'n mail zou sturen. Verder vulde 1Password zijn gegevens niet automagisch in. Ja, dat klopt omdat je niet op de juiste URL zat, nitwit. Dat laatste had natuurlijk de grootste rode vlag moeten zijn maar ook deze heeft hij genegeerd.
Uiteraard kijk ik natuurlijk een koe in de kont want ik weet niet wat zijn mentale staat was op dat moment echter is het niet zo dat de mail zo ingewikkeld in elkaar zit dat je er standaard wel in moet trappen.
Daarom zouden passkeys gewoon standaard moeten worden voor 2fa authenticatie.

Hij opende de e-mail van, wat achteraf een duidelijk verkeerd mailadres bleek, in Outlook op een mobiel apparaat, zo schrijft hij.

Outlook for mobile toont geen mailadressen.
En zelfs als je een link lang aanklikt geen linkadressen.

Het moge duideljik zijn: outlook hielp hem hier totaal niet!
Microsoft zou echt mailadressen en links mogen gaan tonen in hun flagship mailprogramma.

Security by design, het is helaas nog steeds ver weg.

Niet op linkjes klikken, maar zelf url intikken. Is dat zo moeilijk? :)

HTTP-TRACKER als extensie is een goed idee.

Hij gebruikt MailChimp, dat is al een datalek opzichzelf.
Mailchimp houd zich namelijk niet aan de AVG, dat claimen ze wel overigens.
Maar wie de algemene voorwaarden goed leest, ziet darin dat ze alle data en dus ook de data van hun klanten voor eigen doeleinden gebruiken. Dit terwijl ze in het data processing adendum claimen een verwerker te zijn (beide kan niet waar zijn).

Nee outlook hielp hem hier niet nog een andere email client. Mail headers standaard weergeven is helaas geen common thing. Kan ik de makers van de betreffende mua niet kwalijk nemen maar de slechte voorlichting over email veiligheid van overheid scholen etc wel. Als dat regulier kijk gedrag was geweest hadden we een ton minder ellende gehad. Maar helaas gemak boven veiligheid right. En nog steeds niet het besef ook bij overheid dat het stupide is om
te zeggen controleer of het adres overeenkomt zonder uit te leggen hoe een leek dat doet.

Zolang je niet de mailheaders uitleest is dat weergave adres geen reet waard want email is nooit opgezet om veilig te werken qua protocollen en je kan de domste dingen ermee doen qua spoofing en het werkt. Daarom hebben we ook al die ellendige extra dns records om als lapmiddel te werken omdat er niet goed is nagedacht eerder hoe email versturinf en omtvangst misbruikt kon worden. Het is te hopen dat ietf een keer opschiet met de opvolgers van de protocollen.

En heel veel bedrijven alsmede organisaties maken constant blunders van jewelste hiermee. Paar jaar terug nog de belastingdienst zelf maar ingelicht dat bij controle van hun mailheaders er een spelfout zat in hun verificatie record waardoor 1 mailcluster als niet veilig werd gezien bij poging tot aflevering naar onze klanten. Best wel cruciaal als het gaat om bedrijfs financiele informatie die dus in quarantaine kwam met flag van phising.

Dat neemt niet weg dat als je in dit vak zit deze tekorten moet kennen en er zelf naar handelen. Je weet dat een mua op een mobiel nooit alle nodige informatie gaat tonen dan waarom de f wacht je niet tot je achter een desktop zit.

Het enige dat dit incident bewijst is dat je als specialist nog zo hoog van de toren kan blazen over hoe het zou moeten, maar dat er altijd een moment komt dat jijzelf ook slechts mens blijkt te zijn.

heb je het artikel wel gelezen?
De link naar zijn blogpost staat in het artikel.
Koffie??

Heb je mijn reactie wel gelezen? https://security.nl/posting/881296.
Koffie??

Blijkbaar. En met hem hele volksstammen die niet zelf meer willen typen, maar ergens op willen klikken.
Niets nieuws onder de zon.

Ook nog eens compleet vergeten dat bookmarks bestaan in browsers zodat je nog steeds maar 1 klik hoeft te doen. Of je zet het gewoon in je losse keymanager met auto invul functie als je beetje meer geavanceerd wilt.

Verder is er idd niks bijzonders aan de aanval enkel wie het overkwam.
Ene kant gelukkig want als dit effectief blijft gaan ze niet veel geavanceere aanvallen opzetten die nog veel meer oplettendheid vergen. Zoals de recente polymorphic extention proof of concept aanval.

Dus gewoon een linkje aangeklikt in een ongevraag toegezonden e-mail...Oooops