Duitse spamcampagne verspreidt malware met officieel ogende Spectre-waarschuwing

Het Duitse BSI, vergelijkbaar met het Nederlandse NCSC, heeft gewaarschuwd voor een spamcampagne die berichten in zijn naam verspreidt. De Duitstalige tekst van de waarschuwing claimt dat de ontvanger een patch voor Meltdown en Spectre moet downloaden.

Het BSI waarschuwt Duitse gebruikers voor een spamgolf die van deze methode gebruikmaakt. Als gebruikers uiteindelijk op de in de 'waarschuwing' getoonde link klikken en de software downloaden, halen ze in werkelijkheid malware binnen. Aan de gepubliceerde afbeeldingen van de berichten is te zien dat het BSI als afzender is genoemd, maar dat het e-mailadres niet gespooft is. De mails zijn afkomstig van een ander domein dan dat van de Duitse dienst.

De tekst in de mail is verder overtuigend opgesteld en vrij van opvallende fouten. Een link in de e-mail verwijst naar een nagebouwde BSI-site, waar de zogenaamde patch te downloaden is. Die zou het BSI 'in samenwerking met Intel en AMD' hebben ontwikkeld. De dienst vermeldt niet welke malware uiteindelijk wordt binnengehaald en welke functie deze heeft.

De mail en de nagebouwde BSI-pagina

Door Sander van Voorst

Nieuwsredacteur

Feedback • 12-01-2018 19:5357

12-01-2018 • 19:53

57 Linkedin

Lees meer

Spamgolf met bomdreiging gaat rond Nieuws van 14 december 2018
Intel Broadwell- en Haswell-gebruikers melden reboots na beveiligingsupdate Nieuws van 12 januari 2018
Canonical maakt Meltdown-patches beschikbaar - update Nieuws van 10 januari 2018
Microsoft bespreekt impact Spectre- en Meltdown-patches op snelheid pc's Nieuws van 9 januari 2018
Intel wil alle Meltdown- en Spectre-patches voor eind januari uitbrengen Nieuws van 9 januari 2018
Windows-gebruikers met AMD-processors klagen over problemen na Meltdown-patches Nieuws van 8 januari 2018
Meer producten en artikelen
Netwerk en systeembeheer Duitsland Security

Reacties (57)

-Moderatie-faq
57
42
22
4
0
0
Wijzig sortering
Slurpgeit
@b2vjfvj75gjx712 januari 2018 22:24
Wat is nou precies je punt dan? Je hebt zelf een scriptje wat een website download een aanpast? Da's niet zo'n heel groot issue. Sterker nog, dat is waar een website voor is: om te downloaden.

En onbereikbaar maken? Het enige wat je doet is met een XSS poging een filter triggeren wat *jouw* verbinding reset. Daar heeft niemand anders last van hoor. Beetje non-issues om heel eerlijk te zijn.

En SPIF? Bedoel je SPF? Die hebben ze namelijk wel: https://mxtoolbox.com/Sup...pf%3ancsc.nl&run=toolpage.
Gelunox
@b2vjfvj75gjx712 januari 2018 23:02
Je loopt jezelf wel erg rijk te prijzen met dingen die helemaal geen security lek zijn. Dat jij server-side een http-client hebt die een html document ergens opvraagt en het vervolgens zelf serveert is gewoon een doodnormaal iets. Zo werken proxy's namelijk ook. Dat je er vervolgens manipulaties op kan uitvoeren is ook niet raar. Websites met gevoelige informatie (zoals IDEAL betaalpagina's) hebben niet voor niets overal duidelijk bij staan dat je de URL in je browser moet controleren zodat je weet dat je niet op een manipulatieve nep-site zit.

Twitter heeft er ook ooit eens last van gehad, iemand had tvvitter geregistreerd (dubbel v) in een phishing poging.

Edit:
je hebt het verderop in reacties over dat dit beveiligd kan worden met CORS... da's leuk verzonnen, maar zo werkt het dus niet. Cross-origin resource sharing beschermt tegen o.a. clickjacking, waarbij je webpagina's niet in een iframe kan laden als deze niet van hetzelfde of een ander toegestaan domein zijn. Ook zorgt het er voor dat alleen van toegestane domeinen via javascript http-requests mogen worden uitgevoerd.

Dit wordt allemaal door de browser afgedwongen, het is een volledige client-side afhandeling die zo'n beetje alle browsers hebben ingebakken. Als jij je eigen web-browser schrijft die dit niet afdwingt is CORS compleet weerloos.

Voorbeeld, webdomein A, B, en X.
X is jou phishing site, A en B zijn normale sites, A heeft CORS voor A en B ingesteld, B heeft niets ingesteld.
Als jij vanaf domein X met javascript of in een iframe een verzoek doet naar domein A wordt dat verzoek door je browser afgebroken omdat de CORS van domein A domein X niet toestaat. Als jij vanaf domein X met js of iframe een verzoek doet naar B dan laat je browser alles zien omdat B geen regels heeft opgegeven. Vanaf B verzoeken doen naar A (in de browser) werkt ook omdat A B toestaat.

Als jij server side vanaf X een verzoek doet naar A of B komt dat altijd door, immers ben je gewoon een web-client. Als je dan verkeer van een onwetende wil onderscheppen dan moet je hopen dat deze niet je X url in de adresbalk doorheeft en AL het verkeer via jou server laten lopen, ookwel een man in the middle aanval. Hier valt weinig tegen te doen, verdacht internet verkeer loggen, mensen er op wijzen niet zomaar op links te klikken en de adresbalk te controleren.

[Reactie gewijzigd door Gelunox op 12 januari 2018 23:30]

DigitalExorcist
@b2vjfvj75gjx713 januari 2018 11:36
Oh en veiliginternetten.nl routeert HTTP standaard al naar https.....
Stoelpoot
@DigitalExorcist15 januari 2018 09:15
Wordt dit met een HSTS preload gedaan? Anders wordt je eerste request direct aangepast en doe je er dus niets meer aan.
DigitalExorcist
@Stoelpoot15 januari 2018 09:19
Dát weet ik niet, ben daar niet in thuis. Ik bekijk dit puur als 'domme' eindgebruiker die http:// intikt en https:// als resultaat ziet.
supersnathan94
@Stoelpoot15 januari 2018 11:56
Ik gok via een HTPP 302 redirect maar weet het niet zeker. Zal eens even kijken zo.
XriZler
@b2vjfvj75gjx713 januari 2018 11:17
Dit is enigszins toch heel ironisch...

Je zit volle bak het NCSC af te kraken, maar jou brakke website/webserver ondersteunt noch DNSSEC, noch IPv6. Iets van verbeter de wereld, begin bij jezelf?

Beter verwijder je je berichten want ze slaan overigens nog nergens op ook niet. Je weet totaal NIET waar je over praat.

[Reactie gewijzigd door XriZler op 13 januari 2018 11:37]

Venraiden4K
@b2vjfvj75gjx715 januari 2018 08:49
https://www.ncsc.nl/incid...e-disclosure-melding.html

Ik zou zeggen, meld het en claim je T-Shirt ;)
supersnathan94
@b2vjfvj75gjx715 januari 2018 11:50
Die website waar je het linkje van hebt (veilig internetten) heeft gewoon een redirect naar de HTPPS variant zitten en daar zul je dan ook terecht komen zolang je geen MITM hebt.

De punten die je geeft zijn een beetje raar en vergezocht. Het is namelijk allemaal spijkers op laag water zoeken en dan ook nog op dingen waaruit het fundament van het internet bestaat. Dus paginas kunnen downloaden en daarna zelf aan kunnen passen.
Helium-3
@b2vjfvj75gjx712 januari 2018 23:44
Bedankt , nu heb ik een gratis web proxy ;)
FreshMaker
@Helium-313 januari 2018 11:05
Brein heeft hem al geblokkeerd ... :)
daanb14
@b2vjfvj75gjx712 januari 2018 22:09
Zou het ook nog zo kunnen zijn dat men de PDO prepared statements vergeten is en dat je SQL code kunt launchen bij het vinden van de SQL user?
DigitalExorcist
@b2vjfvj75gjx712 januari 2018 23:35
Foxit zal wel meelezen en zich kapot lachen om dat gekunstel van je ja.....
FreshMaker
@DigitalExorcist13 januari 2018 11:04
Foxit zal wel meelezen en zich kapot lachen om dat gekunstel van je ja.....
Volgende week op Tnet :
Tweaker in lastig parket door grapjes
Amsterdam 20-01-2018

Tweaker @b2vjfvj75gjx7 heeft 48 uur in gesepareerde bewaring gezeten, vanwege pogingen tot overname overheids-pagina's
Zijn eigen reactie "omdat het kan" was volgens de nationale politie niet meer van toepassing voor een volwassen rechtspersoon.

[Reactie gewijzigd door FreshMaker op 13 januari 2018 11:06]

ExIT
@DigitalExorcist13 januari 2018 03:23
Verwar naamsbekendheid niet met kwaliteit (kunde)
RobIII
@ExIT13 januari 2018 10:05
Whatever de kunde bij FoxIt is, het is allicht vele malen hoger dan hier tentoongespreidt :')
Murfy
12 januari 2018 20:00
Het is natuurlijk zichtbaar aan het afzendadres, maar de doorsnee gebruiker controleer dit helaas niet heb ik al gemerkt...
gamezfreak
@Murfy12 januari 2018 20:54
De doorsnee gebruiker ziet nog veel meer dingen niet. Zo reageren en vullen ze bepaalde dingen in, die bijv. door 'De Belastingdienst of door hun bank' per mail verstuurd zijn. Zolang mensen er nog intrappen zal dit blijven en zal er ook misbruik van gemaakt worden. Daarnaast zou je ook de site kunnen checken, door de certificaat te controleren (maar ook dat weten de meeste mensen niet...) Voor ons is het wel makkelijk om dit soort dingen te herkennen, maar en zijn ook mensen die alles geloven. Misschien moet er een site komen, waar jij je mail naartoe kan uploaden (dus opslaan als bestand) en dat de site controleert of het wel vertrouwelijk is of niet. Maar ook dat zou dan ook wel te foppen zijn.

Het enigste wanneer ik een mail krijg van de overheid, is soms van DUO en dat is dan meestal ook nog eens reclame.

Vooral nu het tech nieuws ook vaker op radio, tv, krant en internet te horen/zien zijn, kan er een flinke misbruik van gemaakt worden.

Ik denk dat als je deze mail op internationale schaal zou uitvoeren/versturen, dat er heel veel mensen zijn die dit zullen downloaden (want ze willen wel beschermd zijn). De 'patch' zou van alles dan kunnen zijn, van keylogger, tot ransomware en van adware tot aan spyware.

Softonic en al die andere zogenaamde 'driver' sites, mogen ook allemaal weg. Het installeert alleen troep en/of oude en verouderde software en zorgt voor veel problemen.
stimpyMGS
@Murfy12 januari 2018 20:04
en daarom is dit een hele mooie campagne!
Murfy
@stimpyMGS12 januari 2018 20:06
Het is misschien wat onethisch, maar zou het geen leuke campagne zou moest een legitiem bedrijf dit doen, en dan de gebruiker erop wijzen - "hey, we hebben je beet, let op X en Y om dit in de toekomst te vermijden"... :)
DoingK
@Murfy12 januari 2018 20:16
Dat deed de ABN-AMRO dus bij het personeel, zij het op een wat slechte manier uitgedacht :)

https://www.volkskrant.nl...eer-kerstpakket~a4541258/
Murfy
@DoingK12 januari 2018 20:19
Super initiatief. Op het werk van de vrouw deden ze dit ook reeds, en hadden ze zelfs een domein geregistreerd en de replies gecapteerd.
Mensen gaan hier natuurlijk direct op gevoel en 'zich gepakt' voelen, maar het is de harde realiteit dat dit soort grappen geld kost op alle vlakken dus het kan geen kwaad om mensen daarin op te leiden, en op deze manier vergeten ze het niet dadelijk.
Een pamfletje leest niemand, en als iemand het al leest is het 5 minuten later al verdrongen door een meer sensationele gedachte :)
jurre.vriesen
@b2vjfvj75gjx712 januari 2018 23:12
Maar dit is in principe toch met elke website mogelijk 8)7

:Y)
<?php
$url = 'https://deathgrunt.com/'; //of iedere site die je maar wil

$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
$result = curl_exec($ch);
curl_close($ch);

echo $result . '<div style="color: red; position: absolute; top: 0px; font-size: 200px;">You have been pwned</div>';

[Reactie gewijzigd door jurre.vriesen op 12 januari 2018 23:15]

P-e-t-j-e
@b2vjfvj75gjx712 januari 2018 20:24
Lol... ik zou niet vergeten een paar goed betaalde banners op je voorbeeldpagina te zetten.. of een miningscriptje...er zullen genoeg hits komen...

(Grapje natuurlijk ;))

[Reactie gewijzigd door P-e-t-j-e op 12 januari 2018 20:24]

P-e-t-j-e
@b2vjfvj75gjx712 januari 2018 20:32
Dit is natuurlijk maar 1 pagina met de originele links (voldoende voor het genoemde doel)... Als je echt je best doet kun je een mooie proxy service opzetten... veel vraag naar in bepaalde kringen :P

Ontopic: is dit te beveiligen? Ben er niet super goed in thuis maar zolang jouw curl scriptje zich netjes met de juiste requestheaders meldt kunnen ze het niet tegengaan lijkt me... zo werkt googlebot ook toch?

[Reactie gewijzigd door P-e-t-j-e op 12 januari 2018 20:34]

RobIII
@b2vjfvj75gjx712 januari 2018 23:55
Ik weet niets van servers en programmeren
:') Zeg dat wel want álle reacties die ik je tot nu toe heb zien posten zijn pure, onverdunde, klinklare onzin en slaan kant noch wal. Doe jezelf en de rest van de lezers een lol en edit je reacties even naar een "nevermind" oid want je zet jezelf vreselijk te kijk zo. Ik krijg er gewoon jeuk van :X En het zijn er zó veel dat ze compleet overstemmend aanwezig zijn en dusdanig fout dat ze het artikel te kort doen door de aandacht er van af te leiden.

Je "SPIF" (whut?) verhaal slaat nergens op, je curl scriptje toont helemaal niets aan, je CORS/XHR verhaal is een joekel van een klok-klepel geval, het stukje XSS waar je een alert weet te injecten maakt hun server niet "even onbereikbaar" en het "ja maar ze linken naar HTTP i.p.v. HTTPS" is misschien nog wel de kers op de taart.

Wat. Een. Onzin. :')

[Reactie gewijzigd door RobIII op 13 januari 2018 00:22]

Anoniem: 936443
@RobIII13 januari 2018 05:23
De enige zin of goed punt die ik kan erkennen is dat het wel eenvoudig is om een kloon/fishjng website te maken op die manier wanneer de CSS en eventuesl linkjes en iconen ook CSS- en HTML technisch van ieder domein werken.

Registreer een domein nscs.nl ipv. ncsc.nl en je hebt een functionele live kopie van het origineel inclusief je eigen rommelcode.
Ideaal voor fishing.

Het is vanzelfsprekend geen lek of beveiligingsfout dat je de oomaak van een website kunt downloaden, kunt weergeven en manipuleren aangezien het natuurlijk een publieke service en data betreft.

[Reactie gewijzigd door Anoniem: 936443 op 14 januari 2018 00:49]

RobIII
@Anoniem: 93644313 januari 2018 10:03
De enige zin of goed punt die ik kan erkennen is dat het wel eenvoudig is om een kloon/fishjng website te maken op die manier wanneer de CSS en eventuesl linkjes en iconen ook CSS- en HTML technisch van ieder domein werken.
En hoe wou je dat voorkomen? Hoe gaan andere sites dat tegen? Wat is hier dan de "gebruikelijke" techniek tegen?
DeZwarteLijst
@RobIII13 januari 2018 15:55
Gewoon poort 80 en 443 dichtschroeven, dan kunnen die snoodaards je webpagina's niet meer binnenhalen! 8)7
Anoniem: 936443
@RobIII14 januari 2018 00:50
Wie zei dat ik er een oplossing voor heb?
Probeer alleen maar deathgrunts bericht nuttig te interpreteren in tegenstelling tot een meerderheid die alleen maar iets zochten om er op te vitten.

Maar je kunt op zijn minst relatieve paden gebruiken naar en in je CSS zoals naar images en scripts.

[Reactie gewijzigd door Anoniem: 936443 op 14 januari 2018 00:51]

RobIII
@Anoniem: 93644314 januari 2018 00:51
Maar je kunt op zijn minst relatieve paden gebruiken naar en in je CSS zoals naar images en scripts.
En dat lost wélk probleem precies op :? 8)7
Anoniem: 936443
@RobIII14 januari 2018 01:03
Dat wanneer je de HTML kopieerd en uitspuwt vanaf een ander domein en je de andere nodige files niet host vanaf je eigen webspace dat het er anders uit zal zien.
RobIII
@Anoniem: 93644314 januari 2018 01:05
Dan host je die andere files toch ook :? Of dan re-write je toch de paden zodat ze alsnog absoluut zijn :? Daar is gewoon kant-en-klare software / scripts voor hoor. Hoef je niet eens zelf te schrijven (en is ook écht geen rocket science zou je 't wiel wél zelf opnieuw willen uitvinden). (Al dan niet Reverse) Proxy's doen de hele dag niets anders. Maar het punt is: het lost geen bal op. Iemand die een kopie van een site wil maken voor phishingdoeleinden doet dat toch wel; dat kleine drempeltje dat jij opgooit is echt bij lange na geen vorm van 'beveiliging'. Dat automatiseer je in no-time into oblivion.

[Reactie gewijzigd door RobIII op 14 januari 2018 01:09]

Anoniem: 936443
@RobIII14 januari 2018 01:10
Zeker kun je dat ook doen.
Ik zeg niet dat ik een oplossing heb voor het kopieren en hosten van websites.

Misschien moeten we files/code gaan signen die alleen vanaf een specifieke server gehost kunnen worden.

Maar nergens zei ik dat ik er een oplossing voor had of er over na wilde denken.
Probeerde alleen deathgrunts reactie in een ander daglicht te zien en zetten dan de haatreacties en het lollebol gedoe van anderen.

[Reactie gewijzigd door Anoniem: 936443 op 14 januari 2018 02:25]

Mau_Maus
@b2vjfvj75gjx712 januari 2018 22:47
Misschien onnozel van mij, maar waarom is het heel erg dat daar nog http staat in hun link als de link direct naar https gaat? Zolang de doelsite het maar afvangt toch?
Of kan iemand dan dit verkeer eventueel manipuleren en er een eigen http variant van voorschotelen ofzo die dus geen https certificaat hoeft te hebben?
Lijkt me op eerste gezicht wat ver gezocht. Als je dat kan manipuleren kan er wel ergere dingen gedaan worden toch? Je browser zal ook geen mixed content waarschuwing geven.

[Reactie gewijzigd door Mau_Maus op 12 januari 2018 22:54]

e.dewaal
@b2vjfvj75gjx712 januari 2018 23:42
Je kunt dit niet afvangen. Alles wat SPF doet is een manier bieden om de binnengekomen mail te valideren op authenticiteit. Als JOU mailclient (of server) dit niet checkt heeft een SPF record geen nut.

NCSC heeft keurig een SPF record toegevoegd. (makkelijk te controleren via google dns of andere hierbovengenoemde sites).

Je hele verhaal raakt kant nog wal zoals je van bovenstaande reacties en de moderatiescore op al je berichten al gemerkt hebt. Ja het is leuk dat je de site kan "aanpassen" door hem te laden zoals een browser dat zelf ook doet en vervolgens zelf te hosten, want dat doe je eigenlijk. Dat je nou bij elke request naar jou server de gegevens van de andere server afhaalt, tjsa. Helaas kun je dit niet ondervangen, ook niet met CORS / XHR.
Ik heb er niet heel veel verstand van maar zie al in dat het niet zo werkt als dat je hoopt.
stresstak
@b2vjfvj75gjx712 januari 2018 22:06
Ik mis 'klik hier voor een oplossing' ..
mace
13 januari 2018 09:24
@b2vjfvj75gjx7 en als je nu het NCSC gaat mailen om je T-shirt te claimen voor deze "kwetsbaarheden" ga je dan ook netjes melden dat je deze al publiek op Tweakers gedumpt hebt?
RobIII
@mace13 januari 2018 10:11
NCSC lacht je vierkant uit :') Op een mogelijke XSS na is er helemaal niets aan de hand en is het vooral deathgrunt die zichzelf een enorme veer in de bips aan het steken is om niks :X

[Reactie gewijzigd door RobIII op 13 januari 2018 10:14]

mace
@RobIII13 januari 2018 10:32
Yep. Ik zou niet graag al die meldingen daar willen afhandelen als dit de kwaliteit is ervan.
Will_M
13 januari 2018 09:45
Aangaande de hele discussie welke er ontstaan is: Ook best knap, je eigen PROXY "Hacken" :?

[Reactie gewijzigd door Will_M op 13 januari 2018 09:47]

Veelstekel
13 januari 2018 17:05
never mind

[Reactie gewijzigd door Veelstekel op 13 januari 2018 17:07]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee