'Hackers kwamen Sony-netwerk binnen door middel van phishingmails'

De Amerikaanse beveiligingsfirma Cylance claimt dat de hackers die Sony Pictures Entertainment aanvielen toegang tot het bedrijfsnetwerk wisten te krijgen door het versturen van phishingmailtjes. De mailtjes leken afkomstig te zijn van Apple.

Een medewerker van Cylance zegt tegen Politico dat uit een database met e-mailbestanden van Sony Pictures Entertainment is op te maken dat de aanvallers phishingmailtjes stuurden naar personeel van de filmstudio, waaronder de ceo. Deze mailtjes leken afkomstig van Apple. In de berichten werd gevraagd om een website te bezoeken om het Apple ID te resetten, omdat het account anders zou worden afgesloten.

Op basis van de ingevoerde wachtwoorden en LinkedIn-profielen zouden de aanvallers toegang hebben kunnen krijgen tot de systemen van Sony Pictures, al is dat deels speculatie. Wel is duidelijk dat de aanvallers hard coded wachtwoorden in hun malware gebruikten, wat erop wijst dat ze deze op de een of andere manier bij werknemers hadden weggekaapt.

Hackersgroepering GOP claimde in december de hack bij Sony Pictures Entertainment en publiceerde bedrijfsgegevens. Volgens de FBI zou Noord-Korea achter de hack zitten. WikiLeaks publiceerde de bedrijfsdata opnieuw.

IT-banen

Reacties (26)

RoofTurkey 22 april 2015 16:49

Ik denk dat het toch een interessante markt is om nu een 'veilige' email client uit te brengen. Als de phishing eruit gevist kan worden zou dat volgens mij verschrikkelijk veel geld en imago schade schelen. Maar goed waarom dit in hemelsnaam anno 2015 nog een probleem moet zijn is echt

.

Interessante link voor de gedupeerden: http://static.nrc.nl/images/stripped/1202nnnaam.jpg

[Reactie gewijzigd door RoofTurkey op 28 juli 2024 03:19]

jimmy_dg @RoofTurkey • 22 april 2015 16:52

Phishing wordt er al uitgevist (heh..) door spamfilters, die zouden ook dit soort mails moeten filteren.

xoniq @jimmy_dg • 22 april 2015 16:56

Echter blijft het een kat-en-muis spel waardoor er nieuwe phishing mailtjes wel eens doorheen glippen door later gewoon geblokkeerd te worden.
Maar ik vind dat de spam filter niet verantwoordelijk moet zijn hiervoor, maar dat een medewerker uberhaubt leert te kijken naar de URL.

Ik kan ook wel in een mailtje een linkje aanmaken met daarop http://www.apple.com/to-sony om de hyperlink te laten verwijzen naar een malafide pagina die exact dezelfde look heeft als Apple.com maardan met een onjuiste URL.

Soldaatje @xoniq • 22 april 2015 17:07

Kan je die urls niet filteren of checken dan?
Alles maar aan de medewerker over laten die niet allemaal even 'ict-slim' zijn is niet echt verstandig.

Sentry23 @Soldaatje • 22 april 2015 19:23

Bijna elk modern spam filter doet r'eputation checking' van links in emails, maar ook dat hangt dus af van de database met bekende malware sites.
Als je een goede phishing campagne opzet zorg je dus voor verse malware hosts, als je direct een stuk malware wil laten downloaden op een click actie, of (een die ik pas veel tegen kwam), je bouwt op de client vanuit obfuscated encrypted macro code een script, dat dan weer vanaf een externe download server (zijn er genoeg van) een stuk custom made malware met gif extension download (om webfilters te bypassen) om dat weer lokaal te hernoemen naar een executable formaat en uit te voeren.
Het blijft lastig.

xoniq @Sentry23 • 22 april 2015 20:06

Dat is inderdaad precies wat ik bedoel. Een kat-en-muis spel. Nieuwe mailware adresjes, die nog gedetecteerd moeten worden om aan een database toegevoegd te worden als blacklisted.

Verwijderd @xoniq • 22 april 2015 17:44

Mail clients kunnen inderdaad best een beetje meer hun best doen om gebruikers te helpen. In Apple's Mail app moet ik een tijd boven een HTML link zweven alvorens de Mail app mij de echte link in een tooltip laat zien.

Wat mij betreft laat de Mail app gewoon altijd de echte link zien zodra deze niet overeen komt met de HTML tekst voor die link. Mocht de HTML tekst een domeinnaam bevatten die anders is dan het domein in de echt link dan zou het zelfs in rood weergegeven kunnen worden.

Jan-E @Verwijderd • 22 april 2015 18:49

Apple's Mail app is sowieso niet erg veilig. Ik was tamelijk verbijsterd toen ik merkte dat zowel in OSX 10.10 als op een nieuwe iPad externe images zonder meer geladen werden. Dat is toch wel het minste dat een moderne mail client dicht moet zetten. Op deze manier maak je het spammers en phishers wel erg makkelijk.

@CRXDelSol Natuurlijk kun je het gewoon uitzetten. Maar het zou standaard al uit moeten staan. Quod non.

[Reactie gewijzigd door Jan-E op 28 juli 2024 03:19]

xoniq @Jan-E • 22 april 2015 20:05

Dit gebeurt niet bij berichten die mogelijk als spam gezien worden toch?
Je kan het overigens gewoon uitzetten in ‘Mail’ hoor.

Alex) @jimmy_dg • 22 april 2015 17:08

Generieke phishingruns zijn wel te detecteren door slimme spamfilters. Ze zijn te herkennen aan taalfouten, vage URLs en dat ze gericht zijn aan grote groepen mensen. Zulke phishingruns worden gedaan voor het 'snelle geld': aftroggelen van wachtwoorden zodat ze gegevens verkocht kunnen worden.

In dit geval gaat het om 'spear phishing': een doelgerichte aanval op een bedrijf. Hier wordt over het algemeen meer tijd in gestopt om de e-mail zo authentiek mogelijk te laten lijken. Gepersonaliseerd ("Beste Jimmy, ..."), taal goed op orde, een URL die net echt lijkt, enzovoorts. Voor spam- en phishingfilters is het bijzonder lastig om dit soort aanvallen op te sporen - de kans is immers aanwezig dat het een authentieke e-mail betreft.

Daarom is het een noodzaak om mensen te trainen in het herkennen van deze dreigingen, en om dit zo nu en dan te herhalen. Uit onderzoek is gebleken dat veel mensen na verloop van tijd weer vatbaarder worden voor een spear phishing-aanval, ze vergeten simpelweg dat het gevaar bestaat dat die ongevraagde/onaangekondigde "password reset"-mail een malafide e-mail kan zijn.

Johan9711 @RoofTurkey • 22 april 2015 16:55

Sommige phising is er gewoon niet uit te halen. Die lijken zo echt, en door middel van spoofing lijken ze ook nog eens van een betrouwbare afzender te komen.

Verwijderd @Johan9711 • 22 april 2015 17:51

Eens. Toch valt er nog een hoop te verbeteren. Als ik een e-mail krijg van xyz@ing.nl en de e-mail bevat een link naar ing.nl.verysecurenogwat.com dan vind ik het toch wel teleurstellend dat er niet ergens een alarmbelletje afgaat. Je hebt geen IBM Watson nodig om te bepalen dat dat verdacht is en een pop-up waarschuwing of andere notificatie in beeld te brengen.

Verwijderd 22 april 2015 16:58

Dan zijn ze dus niet gehackt. Als je het wachtwoord hebt (gekregen door phising) log je in.

Henk Poley @Verwijderd • 22 april 2015 17:00

Relevant: http://www.smbc-comics.com/index.php?db=comics&id=2526

Hacken is zo'n ruim begrip. Dat je oneigenlijk toegang krijgt op de of andere manier, of dat je het enkel privé of voor misdadige toepassing gebruikt. Het valt er allemaal onder.

Origineel ging het om middels model-trein-onderdelen toegang te krijgen tot de school-mainframe. Om het woord nu nog te proberen in te perken ben je denk ik ruim veertig jaar te laat mee.

[Reactie gewijzigd door Henk Poley op 28 juli 2024 03:19]

Verwijderd @Henk Poley • 22 april 2015 18:55

Onder hacken versta ik dat je inbreekt in een PC door kwetsbare code die je uitbuit. Dat soort dingen. Voor phising hoef je alleen een verhaaltje te verzinnen waar iemand intrapt. Dit is geen hacken. Om te kunnen hacken moet je eerst programmeur zijn.

siteoptimo @Verwijderd • 22 april 2015 18:19

Ze zijn wel gehackt, maar niet op een high tech manier. Dit valt onder social hacking of social engineering.

aval0ne @Verwijderd • 23 april 2015 10:56

Kevin Mitnick is het niet met je eens. Hij wordt toch 1 van de grootste hackers genoemd en ging ook zo te werk.

Verwijderd 22 april 2015 17:37

De zwakste schakel in de keten blijkt toch de mens

wimdebok @Verwijderd • 22 april 2015 18:12

Jaaaa! Dat vind ik ook zo mooi, je kan de meest geavanceerde technieken bedenken mbt cybercriminaliteit maar ik moet altijd denken aan de Maginot linie.
http://en.wikipedia.org/wiki/Maginot_Line.

Nu zijn het phishing mails, dan zijn het weer post-it papiertjes met wachtwoorden maar uiteraard ook de medewerkers van binnenin.

lordfragger 22 april 2015 17:38

Dit is natuurlijk wel een heel veilige stelling: zowat alle grote hacks tegenwoordig komen door een phishingaanval. De beveiliging van systemen en netwerken is tegenwoordig goed genoeg om de meeste klassieke aanvallen tegen te houden. Dan blijft vooral de zwakste schakel in elke beveiliging nog over: de gebruikers.

Spearhead aanvallen (zeer gericht op 1 tot een handvol gebruiker(s)) zijn ook zeer moeilijk tegen te houden door spamfilters. Als ik me voordoe als een sales rep van een of ander bedrijf en ik stuur een powerpoint of pdf met malware in naar een bedrijf zal er weinig tot geen software die mail tegenhouden (ervan uitgaande dat het geen gekende malware is natuurlijk). Als die mail dan nog afkomstig lijkt van een gekende leverancier zullen er niet veel mensen argwaan krijgen.

TL;DR: tegen een goed uitgevoerde phishingaanval is helaas zeer weinig te beginnen.

ymmv @lordfragger • 22 april 2015 19:52

Inderdaad. Als die Phishing mail ook nog 'ns een 0-day exploit bevat is het raak. Dan hebben we het dus niet over een domme gebruiker die een onbekende executable uitvoert, maar geinformeerde gebruikers die denken alle veiligheidsmaatregelen te hebben genomen, al hun software up to date hebben, hun PC met een spamfilter, virusscanner en firewall hebben dichtgetimmerd en desondanks de pineut zijn vanwege een gat in IE, Flash, Java.

Tegen een gerichte aanval door experts is niets te beginnen - tenzij je je PC van het internet haalt.

Verwijderd 22 april 2015 16:59

Net als de ene naar de andere expert, blijf ik nog altijd twijfelen aan Noord Korea als dader.

Sony en de FBI zeggen dat het Noord Korea zijn.
Voor beiden is dat ideaal.

Voor Sony omdat ze beschermt tegen rechtszaken.
Voor Sony omdat het dan geen podium biedt aan pro-piraterij hackers
Voor de FBI om meer middelen aan te trekken voor de 'digitale oorlog' tegen andere zaken.

Maar diverse experts geven aan dat het waarschijnlijk een inside-job was van een gefrustreerde medewerkster en ideologisch gedreven hackers.

]
Al die partijen hebben natuurlijk baat bij media-aandacht, en kunnen daarom zoiets noemen, maar als aan de andere kant blijkt dat ze onzin verkondigen schaadt dat hun business meer dan dat het wat oplevert.

Typisch vind ik, dat net als bij de Russische Witte Huis-Hack de Phissing methode werd toegepast. Een mens blijkt toch de zwakste schakel in zo'n organisatie.

cariolive23 22 april 2015 20:06

Onbegrijpelijk dat onbekende urls en domeinen, gewoon via iedere mailclient zonder enige vorm van waarschuwing, klikbaar zijn. Helemaal wanneer dit gebeurt binnen een bedrijf zoals Sony, waar toch wel een paar beheerders rondlopen voor de mailservers. Het is zo simpel, onbekende url van een onbekend domein of een domein die is geblacklist, dan niet te openen. Waarom zou iedere url of ieder domein vanuit een bedrijfsnetwerk zomaar te op te vragen moeten zijn? Of doen we niet (meer?) aan beveiliging?

Cyrso 22 april 2015 16:48

Ik kijk in ieder geval uit naar SPECTRE van Sony Pictures.

Misschien ook Pixels gaan zien. Misschien ook Hotel Transylvania 2.

[Reactie gewijzigd door Cyrso op 28 juli 2024 03:19]

Verwijderd 22 april 2015 17:01

Kapersky: Witte huis was gehacked door Apenfilmpjes (in flash)
http://www.theinquirer.ne...targeting-the-white-house

Yurn 22 april 2015 17:05

Kijk, eerste keer dat ik een nuttig gebruik zie van phishing. Want wat heeft die hack een hoop bagger onthult die men geheim had willen houden, maar waarvan je wil dat ie in een democratie bekend wordt zodat er wat aan kan worden gedaan. En dan niet zozeer Sony, maar met name hoe de MPAA bezig was met het omkopen van Attorney Generals om zo aanklachten in te dienen tegen vijanden van de MPAA en om wetgeving in hun voordeel aan te passen.
Maar wel weer in het nadeel van de consumenten.

Nee, in dit geval kon ik alleen maar zeggen...go phishing!!

Op dit item kan niet meer gereageerd worden.

'Hackers kwamen Sony-netwerk binnen door middel van phishingmails'

Lees meer

IT-banen

Reacties (26)

Sorteer op:

Weergave: