Onderzoeker vindt op Nederland gerichte phishingserver

Beveiligingsonderzoeker Mischa van Geelen heeft een onbeveiligde MongoDB-server gevonden, zo laat hij aan Tweakers weten. Deze server werd gebruikt om automatisch domeinnamen te registreren die sterk lijken op de domeinnamen van Nederlandse organisaties.

Onder de gevonden organisaties bevinden zich ook buitenlandse merken, maar het grote aandeel aan Nederlandse organisaties is opvallend. Zo laat de database zien dat namen als ING, Rabobank, Telfort en KPN in de gaten gehouden worden. Er zijn daarnaast vermeldingen te zien van domeinen als 'denhaag' en 'tweedekamer'. Onder de overige bekende merken zijn bijvoorbeeld Nike, Coca Cola, Warner en Airbnb. "Ik legde de link met phishing toen ik zag dat de geregistreerde domeinen kort daarna werden gebruikt voor phishingactiviteiten", legt Van Geelen aan Tweakers uit.

De server is zo ingericht dat hij automatisch zoekt naar beschikbare domeinen die sterk lijken op de domeinnamen van een vastgestelde lijst organisaties. In het geval van het domein 'tweedekamer' was bijvoorbeeld '2ekamer' geregistreerd. Andere voorbeelden zijn 'mjining', 'raobank' en 'denhaaag'. Internetcriminelen kunnen deze domeinen gebruiken om gebruikers te doen geloven dat ze zich op de legitieme site van de desbetreffende organisatie bevinden. Door een loginvenster aan te bieden, kunnen ze vervolgens inloggegevens buitmaken. Daarnaast is het mogelijk om gebruikers te infecteren met malware door ze door te verwijzen naar kwaadaardige sites met exploitkits. De domeinen komen bovendien van pas in phishingcampagnes via e-mail, waarbij het bericht links naar de nepsite bevat.

Van Geelen kwam de server op het spoor door te zoeken naar een specifieke configuratie voor onbeveiligde MongoDB-servers. Hij legt uit dat zijn vondst opvallend is, omdat het om een volledig geautomatiseerd proces gaat en de server zich richt op een opvallend aantal Nederlandse organisaties. Na zijn ontdekking heeft de onderzoeker contact opgenomen met het Team High Tech Crime van de Nederlandse politie. Het team toonde zich dankbaar en bevestigde de gegevens te willen gebruiken voor onderzoek. Het offline halen van de server is volgens Van Geelen en de politie daarbij de verkeerde aanpak, omdat de server dan hoogstwaarschijnlijk binnen korte tijd ergens anders opnieuw verschijnt. Van Geelen schat dat de server inmiddels een jaar actief is.

IT-banen

Reacties (44)

Anoniem: 427499 31 oktober 2016 14:26

"Van Geelen kwam de server op het spoor door te zoeken naar een specifieke configuratie voor onbeveiligde MongoDB-servers."

Zijn dit andere woorden voor: Hij gebruikte Google hacking om onbeveiligde MongoDB-servers op te sporen?
Voor diegene die dit niets zegt > https://nl.wikipedia.org/wiki/Google_hacking

GrooV @Anoniem: 427499 • 31 oktober 2016 14:35

Een ouderwetste portscan kan uiteraard ook gewoon

Anoniem: 427499 @GrooV • 31 oktober 2016 14:38

Akkoord, maar ik denk dat een 'simpele' Google hack veel efficiënter is en precies geeft wat je wil weten. Dat gaat met een portscan vaak niet lukken omdat standaard poorten voor meerdere applicaties.

GrooV @Anoniem: 427499 • 31 oktober 2016 14:39

Mongo heeft standaard geen webinterface, dus dat wordt al lastiger. Je moet dan dus op 3rd party mongodb servers gaan zoeken

Devion @Anoniem: 427499 • 31 oktober 2016 15:29

Ook wel 'Google dorks' genoemd.. en 't is verbazingwekend dat anno 2016 er nog heel erg veel open en bloot op internet staat wat achter een slotje had moeten zitten

RogerDad @Anoniem: 427499 • 31 oktober 2016 15:43

Waarschijnlijk heeft hij Shodan gebruikt https://www.shodan.io dan is het een fluitje van een cent, bv. met de query https://www.shodan.io/search?query=product%3A%22MongoDB%22 en daarna kan je door andere zoektermen toe te voegen een drill down doen, bv. "Country:NL" enzovoorts.

com2,1ghz 31 oktober 2016 14:24

Zouden dit soort ethische hackers niet gestrafd worden? Zoiets las ik nog niet eens twee weken terug hier.

Overlord2305 @com2,1ghz • 31 oktober 2016 14:33

Verschil is dat in dit geval de andere partij 100% illegaal is, en dus geen klacht kan indienen of kan dreigen zijn werk te outsourcen.
Stelletje hypocrieten, overigens nog steeds mooi wat ie heeft gedaan.

Musical-Memoirs @com2,1ghz • 31 oktober 2016 14:55

Ethische hackers werken vaak op het randje van de wet en zijn regelmatig illegaal bezig. Hij is hier zelf maar al te bewust van, hij heeft namelijk regelmatig presentaties gegeven over beveiliging en ethische hackers. Ik ken hem persoonlijk, al spreek ik hem niet vaak en al helemaal niet vaak over dit onderwerp, maar naar mijn weten is hij nooit in grote problemen gekomen als ethische hacker.
Ik zou het ook enorm spijtig vinden als mensen die zoveel goed doen voor de veiligheid in de problemen gaan komen. Zolang een ethische hacker daadwerkelijk ethisch bezig is zie ik hier geen enkel probleem in.

kodak

Phishing

@Musical-Memoirs • 1 november 2016 23:50

Ethische hackers werken vaak op het randje van de wet en zijn regelmatig illegaal bezig.

Kan je ethisch hacker zijn en illegaal bezig zijn?

Anoniem: 823835 @com2,1ghz • 31 oktober 2016 15:21

Volgens mij gewoon prima te vergelijken met inbraak danwel huisvredebreuk.
Een inbreker die melding doet voor bijv. een wietplantage is bovendien ook hypocriet.

Als je toestemming hebt ben je ethisch bezig anders gewoon 'n boef.

[Reactie gewijzigd door Anoniem: 823835 op 23 juli 2024 06:50]

AW_Bos

31 oktober 2016 14:29

Ik mis wel een beetje technische uitleg in het artikel. MongoDB is een database-server.
Hoe kan deze dan domeinen registreren? Een databaseserver kan toch niet zulke scripts draaien? Of is er sprake van een exploit in de database-server waarmee er malafide registratie-scripts kon worden geinjecteerd?

Cio @AW_Bos • 31 oktober 2016 14:42

Een server wordt ingezet om domeinen voor phishingdoeleinden te registreren. Server is alleen maar gevonden omdat er een slecht beveiligde MongoDB op draait. De link zit 'm in deze gebeurtenis.

Openingszin in het artikel is wellicht zeer slecht gekozen, maar de verbanden waar je naar zoekt zijn duidelijk niet aanwezig in het artikel wat ik heb gelezen.

Rob Coops @AW_Bos • 31 oktober 2016 17:10

Om te beginnen moet je een lijst met gelijkende namen hebben die je probeert te registreren. Dat zo'n naam vandaag niet beschikbaar is is niet relevant want de registratie van dat soort domeinen wil nog wel eens verlopen dus dit soort dingen bijhouden is wel handig anders moet je zo veel slechte verzoeken sturen dat het nog wel eens op wil vallen. Ook is lijsten aanmaken met gelijkende namen iets dat erg makkelijk automatisch te doen is al weer iets dat je dan waarschijnlijk in een DB wilt opslaan.

Het is niet vreemd om te bedenken dat Mongo wel eens gebruikt kan zijn om domeinen de vergelijkbare namen en de registratie data etc bij te houden voor de honderden of duizenden domeinen die men probeert te registeren.

Wat ik veel vreemder vind is dat het er op lijkt dat Tweakers over een lopend politie onderzoek schrijft, en als ik als boefje zou zien dat de politie op het moment onderzoek doet naar een MongoDB server die wel heel erg op de mijne lijkt dan zou ik toch even een NSA wipe er tegen aan gooien (natuurlijk van uit een leuke starbucks vestiging of zo met een goedkope android telefoon die ik daarna natuurlijk weg zou gooien) en een nieuwe iets beter beveiligde server bouwen ergens anders. Gewoon omdat dat misschien wel verstandig is.

tmfh 31 oktober 2016 14:56

Kan je automatisch domeinen laten registreren? Zijn daar APIs voor? Ik dacht dat je daar op zijn minst een aantal (persoonlijke) gegevens voor moet opvoeren en handmatige handelingen voor moet uitvoeren.

RGAT @tmfh • 31 oktober 2016 15:05

Zijn zat API's om automatisch domeinen te registreren...
Even kort gegoogled en TransIP lijkt 20 domeinen per keer te laten registreren via hun API bijv.
Tuurlijk moet je er een account voor aanmaken met (neppe) persoonlijke gegevens maar daarna kan je domeinen registreren.

CAPSLOCK2000

Security
Phishing
Netwerk en systeembeheer

@tmfh • 31 oktober 2016 15:37

Probleemloos, iedere grote domeinenboer ondersteunt dat. Je maakt van te voren een account aan en zolang je maar betaalt mag je zoveel domeinen aanmaken als je wil.

GrooV @tmfh • 31 oktober 2016 14:57

Volgens het artikel kan je met MongoDB domeinnamen registreren

cariolive23 @tmfh • 31 oktober 2016 20:23

Ik dacht dat je daar op zijn minst een aantal (persoonlijke) gegevens voor moet opvoeren en handmatige handelingen voor moet uitvoeren.

Hoe persoonlijk is persoonlijk? En van wie moeten die persoonsgegevens zijn? En hoe ga je controleren of de opgegeven informatie ook daadwerkelijk is van diegene die deze informatie opgeeft? Identiteitsfraude is kinderlijk eenvoudig en de pakkans is nihil. En wanneer je toch al bezig bent met phishing, wat ook onder de categorie id-fraude valt, dan boeit die pakkans ook al niet meer.

tmfh @cariolive23 • 1 november 2016 13:32

Ja, ik verwacht niet dat een betere check op de persoonlijke gegevens het probleem oplossen. Wel denk ik dat dit een handmatige actie moet zijn, en niet automatisch via een API mogelijk moet zijn. Een handmatige verificatie/check zou ook handig zijn. Hoe vaak moet je een geheel nieuw domein registreren, zodanig dat je hier een automatische API voor nodig hebt?

Aikon 31 oktober 2016 14:32

Wat is de link tussen phishing en onbeveiligde Mongodb-servers?

Overlord2305 @Aikon • 31 oktober 2016 14:37

Dat die daar voor werden gebruikt, of eentje in ieder geval dus

[Reactie gewijzigd door Overlord2305 op 23 juli 2024 06:50]

Aikon @Overlord2305 • 31 oktober 2016 16:38

Ja hehe, zoveel is duidelijk. Maar waarom specifiek die onbeveiligde variant? Ik zou mn phishing-serverz juist extra beveiligen denk ik dan...

Pietervs @Aikon • 31 oktober 2016 18:14

Het gebeurt dat een MongoDB server voor totaal wat anders opgezet is, maar door hackers overgenomen en dus op die manier misbruikt wordt.
Op Twitter is een tijdje terug veel te doen geweest over onbeveiligde MongoDB servers: als ik de deskundigen moet geloven barst het er van op het internet.
Ook Computerworld heeft er een artikel aan gewijd, hoewel het hen meer ging over de data op die servers zelf.

OrangeTux 31 oktober 2016 14:37

Ik snap niet zo goed hoe de onderzoeker tot de conclusie komt dat de domeinen worden gebruikt voor phishing.

Op raobank.nl staat reclame. Ik kan me voorstellen dat andere domeinnen ook met dat doel worden gebruikt.

Anoniem: 427499 @OrangeTux • 31 oktober 2016 14:39

"Ik legde de link met phishing toen ik zag dat de geregistreerde domeinen kort daarna werden gebruikt voor phishingactiviteiten", legt Van Geelen aan Tweakers uit.

Hij is het waarschijnlijk tegengekomen door bijv het domein op te zoeken

CivLord

@OrangeTux • 31 oktober 2016 15:33

Ik kan me voorstellen dat phishing sites vooral gebruikt worden in combinatie met phishing mails. Dat levert veel meer bezoek op dan wachten totdat iemand per ongeluk een typefout maakt. En misschien moet zo'n site ook actief gemonitord worden.
Dan is zo'n site maar voor relatief korte perioden als pishing sites actief. In de tussenliggende periode kan zo'n site 'geparkeerd' staan met advertenties om geld te genereren van bezoekers die er per ongeluk over struikelen.

GrooV @OrangeTux • 31 oktober 2016 16:23

De Rabobank gebruikt raobank.nl zelf ook https://www.facebook.com/rabobankborgerklenckeland/info

BluRay @GrooV • 31 oktober 2016 18:01

Denk dat het een typ fout is. Als ik naar roabank.nl ga dan kom ik op een of andere reclame site.

GrooV @BluRay • 31 oktober 2016 19:19

Heb je het artikel wel geleden ?

Pietervs @OrangeTux • 31 oktober 2016 18:17

Jij ziet reclame.
Hoeveel/welke scripts draaien er die ondertussen malware op jouw PC proberen te plaatsen?
En hoe zit het met de andere sites die op die server draaien?
Kan best zijn dat ze even een "gewone" website geplaatst hebben in afwachting van de volgende spam-run (waarbij honderdduizenden mensen een mail krijgen met een link om een nieuwe pas aan te vragen of zo...).

incaz @OrangeTux • 31 oktober 2016 18:51

Ik zou er zeker niet vanuit gaan dat dat het enige is dat aangeboden wordt.

Een tijdje terug (en nog steeds af en toe oppoppend) was er een scammer actief die reclames plaatste die misbruik maakte van een aantal browserfuncties (trillen, een popupbox die niet was af te sluiten.) Deze reclames verschenen echter alleen op chrome/android, als je met een andere browser die pagina bezocht kreeg je niets interessants. Daar zat dus heel wat detectie achter, vermoedelijk om onder andere de tests van Google te omzeilen (de reclames liepen via Google Ads, maar doorbraken de regels overduidelijk.)

GrooV 31 oktober 2016 14:37

Is dit niet gewoon Typosquatting? https://en.wikipedia.org/wiki/Typosquatting

Heeft niet perse iets met phising te maken en is ook niet strafbaar als je het bijvoorbeeld voor advertenties gebruikt.

Erg slecht artikel van Tweakers wat samen hangt van mogelijke aannames en sensatie

[Reactie gewijzigd door GrooV op 23 juli 2024 06:50]

CivLord

@GrooV • 31 oktober 2016 15:37

Uit het artikel:

"Ik legde de link met phishing toen ik zag dat de geregistreerde domeinen kort daarna werden gebruikt voor phishingactiviteiten", legt Van Geelen aan Tweakers uit.

Het valt dus wel mee met de aannames en sensatie.

dutchgio @GrooV • 31 oktober 2016 15:24

Staat toch duidelijk uitgelegd dat het gebruikt wordt voor phishing inclusief voorbeelden, mede door te versturen in phishing emails etc....

proatjeboksem 31 oktober 2016 14:32

Bukken! *ik kon het niet laten, sorry*

Ook al vind je degenen die de URL's registreren, het lijkt me juridisch gezien toch nog knap lastig, om ze aan te pakken, als het bijvoorbeeld een buitenlandse bende betreft.

Misschien moet er op europees niveau of globaal wel meer worden samengewerkt.
Zoiets als "als jullie die van ons pakken, pakken wij die van jullie"

Mathi159 31 oktober 2016 14:37

Offtopic maar ondertussen gebruikt de overheid zelf ook een hele bak met domeinnamen die niet zouden misstaan voor phishing. Maak je het de mensen ook niet makkelijker mee.

Eusebius 31 oktober 2016 14:24

Ja laten we het naar buiten brengen zodat de criminele organisatie weet dat onderzoek overgedragen is aan de politie

CivLord

@Eusebius • 31 oktober 2016 15:22

De onderzoeker zelf brengt dit naar buiten. Er zal dus wel een strategie achter zitten.
Misschien wordt de server in de gaten gehouden om te zien welke (paniek)reactie dit nieuws teweegbrengt? Reactie in de zin van inloggen op de server om sporen te wissen of zo, en dan proberen degene die inlogt te achterhalen.

sygys @Eusebius • 31 oktober 2016 14:42

Tja dat is media. Die kijken niet naar de impact maar alleen naar het verspreiden van hun eigen nieuws. Je ziet hetzelfde met de tegel gooiers bij viaducten. Je brengt er andere mee op ideeën en toch wordt het gepubliceerd. Ik vraag me wel vaker af waarom bepaalde dingen in het nieuws of op sites als deze worden bekend gemaakt.

Niet echt handig

Eusebius @sygys • 31 oktober 2016 14:57

Dat een nieuwssite het brengt, snap ik. Dat is hun vak. Maar waarom brengt een bedrijf dit naar buiten? Die schrijven een persbericht, bloggen of sturen een tweet de wereld in.

Op dit item kan niet meer gereageerd worden.

Onderzoeker vindt op Nederland gerichte phishingserver

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: