Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Duitse spamcampagne verspreidt malware met officieel ogende Spectre-waarschuwing

Het Duitse BSI, vergelijkbaar met het Nederlandse NCSC, heeft gewaarschuwd voor een spamcampagne die berichten in zijn naam verspreidt. De Duitstalige tekst van de waarschuwing claimt dat de ontvanger een patch voor Meltdown en Spectre moet downloaden.

Het BSI waarschuwt Duitse gebruikers voor een spamgolf die van deze methode gebruikmaakt. Als gebruikers uiteindelijk op de in de 'waarschuwing' getoonde link klikken en de software downloaden, halen ze in werkelijkheid malware binnen. Aan de gepubliceerde afbeeldingen van de berichten is te zien dat het BSI als afzender is genoemd, maar dat het e-mailadres niet gespooft is. De mails zijn afkomstig van een ander domein dan dat van de Duitse dienst.

De tekst in de mail is verder overtuigend opgesteld en vrij van opvallende fouten. Een link in de e-mail verwijst naar een nagebouwde BSI-site, waar de zogenaamde patch te downloaden is. Die zou het BSI 'in samenwerking met Intel en AMD' hebben ontwikkeld. De dienst vermeldt niet welke malware uiteindelijk wordt binnengehaald en welke functie deze heeft.

De mail en de nagebouwde BSI-pagina

Door

Nieuwsredacteur

57 Linkedin Google+

Reacties (57)

Wijzig sortering
Wat is nou precies je punt dan? Je hebt zelf een scriptje wat een website download een aanpast? Da's niet zo'n heel groot issue. Sterker nog, dat is waar een website voor is: om te downloaden.

En onbereikbaar maken? Het enige wat je doet is met een XSS poging een filter triggeren wat *jouw* verbinding reset. Daar heeft niemand anders last van hoor. Beetje non-issues om heel eerlijk te zijn.

En SPIF? Bedoel je SPF? Die hebben ze namelijk wel: https://mxtoolbox.com/Sup...pf%3ancsc.nl&run=toolpage.
Je loopt jezelf wel erg rijk te prijzen met dingen die helemaal geen security lek zijn. Dat jij server-side een http-client hebt die een html document ergens opvraagt en het vervolgens zelf serveert is gewoon een doodnormaal iets. Zo werken proxy's namelijk ook. Dat je er vervolgens manipulaties op kan uitvoeren is ook niet raar. Websites met gevoelige informatie (zoals IDEAL betaalpagina's) hebben niet voor niets overal duidelijk bij staan dat je de URL in je browser moet controleren zodat je weet dat je niet op een manipulatieve nep-site zit.

Twitter heeft er ook ooit eens last van gehad, iemand had tvvitter geregistreerd (dubbel v) in een phishing poging.

Edit:
je hebt het verderop in reacties over dat dit beveiligd kan worden met CORS... da's leuk verzonnen, maar zo werkt het dus niet. Cross-origin resource sharing beschermt tegen o.a. clickjacking, waarbij je webpagina's niet in een iframe kan laden als deze niet van hetzelfde of een ander toegestaan domein zijn. Ook zorgt het er voor dat alleen van toegestane domeinen via javascript http-requests mogen worden uitgevoerd.

Dit wordt allemaal door de browser afgedwongen, het is een volledige client-side afhandeling die zo'n beetje alle browsers hebben ingebakken. Als jij je eigen web-browser schrijft die dit niet afdwingt is CORS compleet weerloos.

Voorbeeld, webdomein A, B, en X.
X is jou phishing site, A en B zijn normale sites, A heeft CORS voor A en B ingesteld, B heeft niets ingesteld.
Als jij vanaf domein X met javascript of in een iframe een verzoek doet naar domein A wordt dat verzoek door je browser afgebroken omdat de CORS van domein A domein X niet toestaat. Als jij vanaf domein X met js of iframe een verzoek doet naar B dan laat je browser alles zien omdat B geen regels heeft opgegeven. Vanaf B verzoeken doen naar A (in de browser) werkt ook omdat A B toestaat.

Als jij server side vanaf X een verzoek doet naar A of B komt dat altijd door, immers ben je gewoon een web-client. Als je dan verkeer van een onwetende wil onderscheppen dan moet je hopen dat deze niet je X url in de adresbalk doorheeft en AL het verkeer via jou server laten lopen, ookwel een man in the middle aanval. Hier valt weinig tegen te doen, verdacht internet verkeer loggen, mensen er op wijzen niet zomaar op links te klikken en de adresbalk te controleren.

[Reactie gewijzigd door Gelunox op 12 januari 2018 23:30]

Oh en veiliginternetten.nl routeert HTTP standaard al naar https.....
Wordt dit met een HSTS preload gedaan? Anders wordt je eerste request direct aangepast en doe je er dus niets meer aan.
Dt weet ik niet, ben daar niet in thuis. Ik bekijk dit puur als 'domme' eindgebruiker die http:// intikt en https:// als resultaat ziet.
Ik gok via een HTPP 302 redirect maar weet het niet zeker. Zal eens even kijken zo.
Dit is enigszins toch heel ironisch...

Je zit volle bak het NCSC af te kraken, maar jou brakke website/webserver ondersteunt noch DNSSEC, noch IPv6. Iets van verbeter de wereld, begin bij jezelf?

Beter verwijder je je berichten want ze slaan overigens nog nergens op ook niet. Je weet totaal NIET waar je over praat.

[Reactie gewijzigd door XriZler op 13 januari 2018 11:37]

Die website waar je het linkje van hebt (veilig internetten) heeft gewoon een redirect naar de HTPPS variant zitten en daar zul je dan ook terecht komen zolang je geen MITM hebt.

De punten die je geeft zijn een beetje raar en vergezocht. Het is namelijk allemaal spijkers op laag water zoeken en dan ook nog op dingen waaruit het fundament van het internet bestaat. Dus paginas kunnen downloaden en daarna zelf aan kunnen passen.
Zou het ook nog zo kunnen zijn dat men de PDO prepared statements vergeten is en dat je SQL code kunt launchen bij het vinden van de SQL user?
Foxit zal wel meelezen en zich kapot lachen om dat gekunstel van je ja.....
Foxit zal wel meelezen en zich kapot lachen om dat gekunstel van je ja.....
Volgende week op Tnet :
Tweaker in lastig parket door grapjes
Amsterdam 20-01-2018

Tweaker @deathgrunt heeft 48 uur in gesepareerde bewaring gezeten, vanwege pogingen tot overname overheids-pagina's
Zijn eigen reactie "omdat het kan" was volgens de nationale politie niet meer van toepassing voor een volwassen rechtspersoon.

[Reactie gewijzigd door FreshMaker op 13 januari 2018 11:06]

Verwar naamsbekendheid niet met kwaliteit (kunde)
Whatever de kunde bij FoxIt is, het is allicht vele malen hoger dan hier tentoongespreidt :')
Het is natuurlijk zichtbaar aan het afzendadres, maar de doorsnee gebruiker controleer dit helaas niet heb ik al gemerkt...
De doorsnee gebruiker ziet nog veel meer dingen niet. Zo reageren en vullen ze bepaalde dingen in, die bijv. door 'De Belastingdienst of door hun bank' per mail verstuurd zijn. Zolang mensen er nog intrappen zal dit blijven en zal er ook misbruik van gemaakt worden. Daarnaast zou je ook de site kunnen checken, door de certificaat te controleren (maar ook dat weten de meeste mensen niet...) Voor ons is het wel makkelijk om dit soort dingen te herkennen, maar en zijn ook mensen die alles geloven. Misschien moet er een site komen, waar jij je mail naartoe kan uploaden (dus opslaan als bestand) en dat de site controleert of het wel vertrouwelijk is of niet. Maar ook dat zou dan ook wel te foppen zijn.

Het enigste wanneer ik een mail krijg van de overheid, is soms van DUO en dat is dan meestal ook nog eens reclame.

Vooral nu het tech nieuws ook vaker op radio, tv, krant en internet te horen/zien zijn, kan er een flinke misbruik van gemaakt worden.

Ik denk dat als je deze mail op internationale schaal zou uitvoeren/versturen, dat er heel veel mensen zijn die dit zullen downloaden (want ze willen wel beschermd zijn). De 'patch' zou van alles dan kunnen zijn, van keylogger, tot ransomware en van adware tot aan spyware.

Softonic en al die andere zogenaamde 'driver' sites, mogen ook allemaal weg. Het installeert alleen troep en/of oude en verouderde software en zorgt voor veel problemen.
en daarom is dit een hele mooie campagne!
Het is misschien wat onethisch, maar zou het geen leuke campagne zou moest een legitiem bedrijf dit doen, en dan de gebruiker erop wijzen - "hey, we hebben je beet, let op X en Y om dit in de toekomst te vermijden"... :)
Dat deed de ABN-AMRO dus bij het personeel, zij het op een wat slechte manier uitgedacht :)

https://www.volkskrant.nl...eer-kerstpakket~a4541258/
Super initiatief. Op het werk van de vrouw deden ze dit ook reeds, en hadden ze zelfs een domein geregistreerd en de replies gecapteerd.
Mensen gaan hier natuurlijk direct op gevoel en 'zich gepakt' voelen, maar het is de harde realiteit dat dit soort grappen geld kost op alle vlakken dus het kan geen kwaad om mensen daarin op te leiden, en op deze manier vergeten ze het niet dadelijk.
Een pamfletje leest niemand, en als iemand het al leest is het 5 minuten later al verdrongen door een meer sensationele gedachte :)
Maar dit is in principe toch met elke website mogelijk 8)7

:Y)
<?php
$url = 'https://deathgrunt.com/'; //of iedere site die je maar wil

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
$result = curl_exec($ch);
curl_close($ch);

echo $result . '<div style="color: red; position: absolute; top: 0px; font-size: 200px;">You have been pwned</div>';

[Reactie gewijzigd door jurre.vriesen op 12 januari 2018 23:15]

Lol... ik zou niet vergeten een paar goed betaalde banners op je voorbeeldpagina te zetten.. of een miningscriptje...er zullen genoeg hits komen...

(Grapje natuurlijk ;))

[Reactie gewijzigd door P-e-t-j-e op 12 januari 2018 20:24]

Dit is natuurlijk maar 1 pagina met de originele links (voldoende voor het genoemde doel)... Als je echt je best doet kun je een mooie proxy service opzetten... veel vraag naar in bepaalde kringen :P

Ontopic: is dit te beveiligen? Ben er niet super goed in thuis maar zolang jouw curl scriptje zich netjes met de juiste requestheaders meldt kunnen ze het niet tegengaan lijkt me... zo werkt googlebot ook toch?

[Reactie gewijzigd door P-e-t-j-e op 12 januari 2018 20:34]

Ik weet niets van servers en programmeren
:') Zeg dat wel want lle reacties die ik je tot nu toe heb zien posten zijn pure, onverdunde, klinklare onzin en slaan kant noch wal. Doe jezelf en de rest van de lezers een lol en edit je reacties even naar een "nevermind" oid want je zet jezelf vreselijk te kijk zo. Ik krijg er gewoon jeuk van :X En het zijn er z veel dat ze compleet overstemmend aanwezig zijn en dusdanig fout dat ze het artikel te kort doen door de aandacht er van af te leiden.

Je "SPIF" (whut?) verhaal slaat nergens op, je curl scriptje toont helemaal niets aan, je CORS/XHR verhaal is een joekel van een klok-klepel geval, het stukje XSS waar je een alert weet te injecten maakt hun server niet "even onbereikbaar" en het "ja maar ze linken naar HTTP i.p.v. HTTPS" is misschien nog wel de kers op de taart.

Wat. Een. Onzin. :')

[Reactie gewijzigd door RobIII op 13 januari 2018 00:22]

De enige zin of goed punt die ik kan erkennen is dat het wel eenvoudig is om een kloon/fishjng website te maken op die manier wanneer de CSS en eventuesl linkjes en iconen ook CSS- en HTML technisch van ieder domein werken.

Registreer een domein nscs.nl ipv. ncsc.nl en je hebt een functionele live kopie van het origineel inclusief je eigen rommelcode.
Ideaal voor fishing.

Het is vanzelfsprekend geen lek of beveiligingsfout dat je de oomaak van een website kunt downloaden, kunt weergeven en manipuleren aangezien het natuurlijk een publieke service en data betreft.

[Reactie gewijzigd door Dr.Zeno op 14 januari 2018 00:49]

De enige zin of goed punt die ik kan erkennen is dat het wel eenvoudig is om een kloon/fishjng website te maken op die manier wanneer de CSS en eventuesl linkjes en iconen ook CSS- en HTML technisch van ieder domein werken.
En hoe wou je dat voorkomen? Hoe gaan andere sites dat tegen? Wat is hier dan de "gebruikelijke" techniek tegen?
Gewoon poort 80 en 443 dichtschroeven, dan kunnen die snoodaards je webpagina's niet meer binnenhalen! 8)7
Wie zei dat ik er een oplossing voor heb?
Probeer alleen maar deathgrunts bericht nuttig te interpreteren in tegenstelling tot een meerderheid die alleen maar iets zochten om er op te vitten.

Maar je kunt op zijn minst relatieve paden gebruiken naar en in je CSS zoals naar images en scripts.

[Reactie gewijzigd door Dr.Zeno op 14 januari 2018 00:51]

Maar je kunt op zijn minst relatieve paden gebruiken naar en in je CSS zoals naar images en scripts.
En dat lost wlk probleem precies op :? 8)7
Dat wanneer je de HTML kopieerd en uitspuwt vanaf een ander domein en je de andere nodige files niet host vanaf je eigen webspace dat het er anders uit zal zien.
Dan host je die andere files toch ook :? Of dan re-write je toch de paden zodat ze alsnog absoluut zijn :? Daar is gewoon kant-en-klare software / scripts voor hoor. Hoef je niet eens zelf te schrijven (en is ook cht geen rocket science zou je 't wiel wl zelf opnieuw willen uitvinden). (Al dan niet Reverse) Proxy's doen de hele dag niets anders. Maar het punt is: het lost geen bal op. Iemand die een kopie van een site wil maken voor phishingdoeleinden doet dat toch wel; dat kleine drempeltje dat jij opgooit is echt bij lange na geen vorm van 'beveiliging'. Dat automatiseer je in no-time into oblivion.

[Reactie gewijzigd door RobIII op 14 januari 2018 01:09]

Zeker kun je dat ook doen.
Ik zeg niet dat ik een oplossing heb voor het kopieren en hosten van websites.

Misschien moeten we files/code gaan signen die alleen vanaf een specifieke server gehost kunnen worden.

Maar nergens zei ik dat ik er een oplossing voor had of er over na wilde denken.
Probeerde alleen deathgrunts reactie in een ander daglicht te zien en zetten dan de haatreacties en het lollebol gedoe van anderen.

[Reactie gewijzigd door Dr.Zeno op 14 januari 2018 02:25]

Misschien onnozel van mij, maar waarom is het heel erg dat daar nog http staat in hun link als de link direct naar https gaat? Zolang de doelsite het maar afvangt toch?
Of kan iemand dan dit verkeer eventueel manipuleren en er een eigen http variant van voorschotelen ofzo die dus geen https certificaat hoeft te hebben?
Lijkt me op eerste gezicht wat ver gezocht. Als je dat kan manipuleren kan er wel ergere dingen gedaan worden toch? Je browser zal ook geen mixed content waarschuwing geven.

[Reactie gewijzigd door Mau_Maus op 12 januari 2018 22:54]

Je kunt dit niet afvangen. Alles wat SPF doet is een manier bieden om de binnengekomen mail te valideren op authenticiteit. Als JOU mailclient (of server) dit niet checkt heeft een SPF record geen nut.

NCSC heeft keurig een SPF record toegevoegd. (makkelijk te controleren via google dns of andere hierbovengenoemde sites).

Je hele verhaal raakt kant nog wal zoals je van bovenstaande reacties en de moderatiescore op al je berichten al gemerkt hebt. Ja het is leuk dat je de site kan "aanpassen" door hem te laden zoals een browser dat zelf ook doet en vervolgens zelf te hosten, want dat doe je eigenlijk. Dat je nou bij elke request naar jou server de gegevens van de andere server afhaalt, tjsa. Helaas kun je dit niet ondervangen, ook niet met CORS / XHR.
Ik heb er niet heel veel verstand van maar zie al in dat het niet zo werkt als dat je hoopt.
Ik mis 'klik hier voor een oplossing' ..
@deathgrunt en als je nu het NCSC gaat mailen om je T-shirt te claimen voor deze "kwetsbaarheden" ga je dan ook netjes melden dat je deze al publiek op Tweakers gedumpt hebt?
NCSC lacht je vierkant uit :') Op een mogelijke XSS na is er helemaal niets aan de hand en is het vooral deathgrunt die zichzelf een enorme veer in de bips aan het steken is om niks :X

[Reactie gewijzigd door RobIII op 13 januari 2018 10:14]

Yep. Ik zou niet graag al die meldingen daar willen afhandelen als dit de kwaliteit is ervan.
Aangaande de hele discussie welke er ontstaan is: Ook best knap, je eigen PROXY "Hacken" :?

[Reactie gewijzigd door wimmel_1 op 13 januari 2018 09:47]

never mind

[Reactie gewijzigd door Veelstekel op 13 januari 2018 17:07]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2018 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*