Dienst achter cryptowallet wijt omleiding naar phishingsite aan dns-hijack

De dienst MyEtherWallet zegt dat een deel van zijn bezoekers dinsdag is omgeleid naar een phishingsite doordat aanvallers een aantal dns-servers hadden gekaapt. Daardoor kwamen sommige gebruikers op de kwaadaardige site terecht en verloren ze ether.

In zijn verklaring rept MyEtherWallet niet van slachtoffers maar schrijft het dat 'getroffen gebruikers mogelijk een ssl-waarschuwing op de kwaadaardige versie van zijn site hebben genegeerd'. Daarmee doelt het erop dat de phishingsite niet voorzien was van een geldig certificaat. Doordat bezoekers alsnog inlogden, was een de aanvaller in staat om ether te stelen, die deze zou hebben verzameld in een eigen wallet. Daaraan is recentelijk 215 ether onttrokken, wat neerkomt op omgerekend ongeveer 115.000 euro.

Volgens beveiligingsonderzoeker Kevin Beaumont gebruikte de onbekende aanvaller bgp om verkeer bestemd voor Amazons Route 53-dns-dienst om te leiden via een server bij Equinix in Chicago. Daardoor zouden gebruikers van MyEtherWallet, dat volgens Beaumont tot nu toe het enige bekende slachtoffer is, omgeleid zijn naar de phishingsite die zich in Rusland bevindt. Volgens Oracles Internet Intelligence duurde de omleiding ongeveer twee uur.

Amazon zegt in een verklaring aan Ars Technica dat 'noch AWS noch Route 53 zijn overgenomen of gehacked'. Het vervolgt: "Een upstream isp was overgenomen door een aanvaller die vervolgens de provider inzette om een deel van de Route 53-ip-adressen aan andere netwerken te announcen waarmee deze isp was gepeered." Daardoor zou een klein deel van het verkeer voor een klant zijn omgeleid naar de kwaadaardige versie van diens site. Op zijn statuspagina toont Amazon meer informatie over het incident bij Route 53.

Equinix reageerde eveneens tegenover Ars Technica en stelt dat het niet om een eigen server ging maar om die van een klant in zijn datacentrum in Chicago. Volgens Beaumont is het onwaarschijnlijk dat MyEtherWallet het enige doelwit van de aanval was. De aanval, die volgens de onderzoeker de grootste is die bgp en dns combineerde, zou bovendien 'de kwetsbaarheid van het internet benadrukken'.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 25-04-2018 08:23
40 • submitter: Dannyvrf

25-04-2018 • 08:23

40

Submitter: Dannyvrf

Lees meer

Hola VPN: aanvallers hadden kortstondig controle over Chrome-extensie
Hola VPN: aanvallers hadden kortstondig controle over Chrome-extensie Nieuws van 11 juli 2018
Populaire iOS-app doet zich voor als walletdienst MyEtherWallet - update
Populaire iOS-app doet zich voor als walletdienst MyEtherWallet - update Nieuws van 11 december 2017
'Phishingcampagne gericht op MyEtherWallet heeft 13.000 euro opgeleverd'
'Phishingcampagne gericht op MyEtherWallet heeft 13.000 euro opgeleverd' Nieuws van 25 oktober 2017
Google-fout met bgp-protocol leidde tot internetproblemen bij veel Japanners
Google-fout met bgp-protocol leidde tot internetproblemen bij veel Japanners Nieuws van 28 augustus 2017
CloudFlare klaagt over Telia na omvangrijke Europese internetstoring
CloudFlare klaagt over Telia na omvangrijke Europese internetstoring Nieuws van 21 juni 2016
Ip-adressen BuZa gekaapt via bgp-hijacking
Ip-adressen BuZa gekaapt via bgp-hijacking Nieuws van 27 augustus 2015
'NSA kan met bgp- en dns-manipulatie via buitenland legaal Amerikanen aftappen'
'NSA kan met bgp- en dns-manipulatie via buitenland legaal Amerikanen aftappen' Nieuws van 30 juni 2014
'Aanvallers misbruiken border gateway-protocol voor onderscheppen verkeer'
'Aanvallers misbruiken border gateway-protocol voor onderscheppen verkeer' Nieuws van 20 november 2013
Meer producten en artikelen
Internet Netwerk en systeembeheer Bgp cryptocurrency Dns

Reacties (40)

-Moderatie-faq
40
39
26
10
1
10
Wijzig sortering

Sorteer op:

Weergave:
woutertje 25 april 2018 09:00
Vanuit mijn werk heb ik toevallig iets meer zicht op wat ze met de Authoritative DNS gedaan hebben.

Gedurende de periode dat de IP prefixes gehijacked waren werden er uitsluitend nog DNS queries beantwoord voor de domeinen waar de aanvallers in geinteresseerd waren. Alle andere DNS queries bleven onbeantwoord (dat zijn er in dit geval heel veel, omdat Route53 erg groot is). De domeinen die ik zag waren myetherwallet.com en www.myetherwallet.com. De aanval lijkt dus, in tegenstelling tot wat Kevin Beaumont beweert, heel doelgericht geweest te zijn.

Je zag ook dat Google's 8.8.8.8 soms niet meer in staat was om het A-record van, bijvoorbeeld, instagram.com te resolven. Instagram is ook gebruiker van Route53.

[Reactie gewijzigd door woutertje op 23 juli 2024 02:19]

Cerberus_tm @woutertje25 april 2018 15:12
Weet je toevallig hoe laat dat was? En of Steam ook van deze Amazon-dienst gebruikmaakt? Ik kon vannacht gedurende enige tijd geen losse reviews lezen op Steam, terwijl de gewone winkelpagina's het wel deden, inclusief de reviews op die pagina's, en de andere discussiepagina's het ook gewoon deden.
woutertje @Cerberus_tm25 april 2018 15:30
De hijack vond (ongeveer) plaats tussen 13:05:00 en 14:55:00 (GMT+2). Voor zover ik weet of kan zien maakt Steam ook geen gebruik van Route53. Waarschijnlijk was dat dus een ander probleem.
Cerberus_tm @woutertje26 april 2018 01:37
OK toeval dan inderdaad. Het viel me op omdat ik nog nooit zoiets had meegemaakt bij Steam. Gelukkig minder erg dan een hack van een cryptowallet!
djiwie @woutertje25 april 2018 09:09
Klopt, wij zagen gistermiddag ook diverse issues bij het resolven van domains die door AWS gehost werden. AWS domains die onze services wilden resolven werden inderdaad niet beantwoord (of vrijwel niet) omdat 3 van de 4 servers geen antwoord gaven.
Mrten 25 april 2018 08:56
Het is aangeraden om MyEtherWallet lokaal te gebruiken, zodat je niet afhankelijk bent van derde partijen. Hiervoor zijn instructies te vinden op hun knowledge base.
tomvleeuwen 25 april 2018 08:29
Als het waar is dat de gebruikers de SSL waarschuwing genegeerd hebben, vind ik dat eigenlijk wel een beetje hun eigen schuld. Maar misschien gebruikte ze een oude browser die de onveilige SSL protocollen nog accepteert (ook niet handig met cryptocurrency)
Devaqto @tomvleeuwen25 april 2018 08:42
Dan heb je nog geluk dat de aanvallers geen LetsEncrypt certificaat hadden aangevraagd op hun eigen server, dan had je het niet zo snel kunnen zien. :P

Een simpele HSTS-header had ook kunnen helpen (geen oplossing): https://www.owasp.org/ind...port_Security_Cheat_Sheet
"HSTS does not allow a user to override the invalid certificate message."

Uiteraad ook DNSSEC, het lijkt alsof het bedrijf weinig maatregelen heeft genomen om de beveiliging van informatie te waarborgen...

[Reactie gewijzigd door Devaqto op 23 juli 2024 02:19]

cakemasher @Devaqto25 april 2018 08:54
Dan zouden de Letsencrypt servers ook gespoofed moeten worden in de zin dat ook zij naar de malafide website gestuurd zouden worden. Alleen dan zou er een 'geldig' certificaat aangevraagd kunnen worden.

Wat een simpele oplossing zou kunnen zijn is DNSSEC, wat zich eigenlijks focust op het voorkomen van zoon DNS man-in-the-middle attack. Hier wordt een publieke sleutel op de servers van het root domeinnaam (bijv. voor .nl, bij SIDN) opgeslagen, en worden de records ondertekend op de DNS- / Nameserver zelf d.m.v. een private key. Hier zou vervolgens door de client een check op uitgevoerd moeten worden.

Simpele DNSSEC uitleg hier en hier.

Deze check laat zien dat DNSSEC niet geactiveerd is op myetherwallet.com.

[Reactie gewijzigd door cakemasher op 23 juli 2024 02:19]

Verwijderd @cakemasher25 april 2018 09:15
Spijtig genoeg ondersteunt Route53 nog steeds geen DNSSEC:

"Amazon Route 53 supports DNSSEC for domain registration. However, Route 53 does not support DNSSEC for DNS service, regardless of whether the domain is registered with Route 53. If you want to configure DNSSEC for a domain that is registered with Route 53, you must use another DNS service provider."
https://docs.aws.amazon.c...ain-configure-dnssec.html
CAPSLOCK2000
@cakemasher25 april 2018 11:19
Als je wil weten of jouw DNS-resolver al geschikt is voor DNSSEC dan kun je deze zelftest doen.


Als je ooit vermoed dat er een DNSSEC-probleem is dan is de website DNSviz goud waard om het probleem te debuggen. Door gewoon naar het grote rode kruis te kijken kun je meestal in één oogopslag zien waar het fout gaat.

Voor een algemeen overzicht van status van de belangrijkste moderne beveilingsfeatures kan ik Hardenize aanbevelen.
Verwi159 @Devaqto25 april 2018 10:08
Vanuit ons bedrijf kan ik zien dat ze na de aanval gisteren, de website beter beveiligd hebben, maar DNSSEC staat nog niet enabled. (zie nu ook de reden van sithlord2) HSTS staat wel dicht op het hoofd domein. Verder is er kans om het domain te hijacken. Zaken als transfer/deletion protection staan niet aan.

[Reactie gewijzigd door Verwi159 op 23 juli 2024 02:19]

Verwijderd @Devaqto25 april 2018 08:43
Die vermeld geen bedrijfsnaam, premium certificaat dus wel.
Devaqto @Verwijderd25 april 2018 08:45
Dan nog, krijgen bezoekers geen melding over een ongeldig certificaat. En ik denk dat het tegenvalt hoeveel mensen letten op een EV-certificaat.
Yggdrasil @Verwijderd25 april 2018 09:34
De waarde van EV certificaten is minimaal, o.a. omdat mensen in dit geval dan bijv. hadden moeten reageren op het ontbreken van de specifieke eigenschappen van EV. Als je nu ziet dat mensen al doorklikken bij een ongeldig certificaat terwijl dat moeite kost, dan is het effect van EV werkelijk verwaarloosbaar.

Duidelijkere uitleg van dit probleem in: https://scotthelme.co.uk/...-paper-theyre-written-on/

[Reactie gewijzigd door Yggdrasil op 23 juli 2024 02:19]

.oisyn Moderator Devschuur®
@Devaqto25 april 2018 08:54
Dan heb je nog geluk dat de aanvallers geen LetsEncrypt certificaat hadden aangevraagd op hun eigen server
Dat had alleen gekund als het verkeer van LetsEncrypt's validator ook was omgeleid.
Tozz @.oisyn25 april 2018 08:58
Nouja, het "omleiden" van verkeer is precies wat er gebeurt is. Dus waarom zou de LE validator niet ook gewoon naar de neplocatie kunnen valideren?
.oisyn Moderator Devschuur®
@Tozz25 april 2018 08:59
Als ik het artikel en Amazon's statusupdate lees was het probleem dus niet voor iedereen merkbaar.
djwice @Devaqto27 april 2018 10:16
AWS heeft geen dnssec, je moet dit via een andere provider regelen.
Op AWS kun je HSTS op AWS CloudFront is alleen aan te zetten via Lambda@Edge en ondanks dat dit vrij makkelijk te doen is en niet veel kost (paar cent per maand), merk ik dat dit nog niet veel wordt gebruikt.
Ik zie nog minder vaak dat mensen de preload functie van HSTS configureren.

DNS CAA is ook op Route53 in te stellen wordt nog minder vaak gedaan dan HSTS, maar omdat hier de DNS overgenomen was, vraag ik me af of dat effect zou hebben gehad.

[Reactie gewijzigd door djwice op 23 juli 2024 02:19]

matthewk 25 april 2018 08:28
Ik heb inderdaad een melding gekregen dat het certificaat niet geldig was, en toen ben ik ook niet verder gegaan. Jammer dat je aan een myetherwallet geen dynamische 2-factor auth kan hangen zoals de pinpas authenticator...

Maar goed, hiervoor bestaan de fysieke wallets ook...

[Reactie gewijzigd door matthewk op 23 juli 2024 02:19]

Tozz @matthewk25 april 2018 08:57
Wat zou dat oplossen dan? De "nepsite" kan gewoon elke 2-factor code accepteren.

2FA is een methode om de client te authenticeren, niet de server.
Aikon @Tozz25 april 2018 09:12
Ik weet de details van deze 'hack' niet maar als het doel is om inloggegevens te stelen, dan is dat wellicht minder effectief met 2FA? Dan zal er iig direct (binnen de vervalperiode v/d code) op de andere site moeten worden ingelogd, dat kan op zich wel. Maar als er vervolgens bij een transactie weer om 2FA wordt gevraagd komt de 'hacker' niet verder.
djiwie @Aikon25 april 2018 09:19
Deze dienst implementeert een client-side wallet en heeft sowieso geen inloggegevens, maar mensen slaan hun keys zelf op. Dus het is zelfs nog erger, als mensen die gegevens hebben weggegeven is effectief hun hele portemonnee leeggeroofd.
psycho202 @Tozz25 april 2018 09:17
De nepsite kan die 2FA accepteren, maar kan er verder niets mee.
Deze hack was zo successvol doordat zoveel man ingelogd heeft op de fake site, waardoor ze mooi een pak logins hebben kunnen verzamelen om te kunnen bestelen.
Moest er 2FA aanwezig zijn op MyEtherWallet zou dit nu eenmaal wat moeilijker geworden zijn voor de hackers om verder iets met de logins te kunnen doen, tenzij ze zware automatisatie gebruiken die tegelijk met de login poging op de phishing site inlogde op de echte site.
Dark_man @Tozz25 april 2018 13:59
Daarom moet je ook altijd eerst een foutieve 2FA code invoeren.

Dan weet je of je op een phishing site zit of niet.
Wim-Bart @Tozz25 april 2018 16:09
Wat zou dat oplossen dan? De "nepsite" kan gewoon elke 2-factor code accepteren.

2FA is een methode om de client te authenticeren, niet de server.
Niet helemaal, wanneer je omgeleid wordt naar een Phising Site en je verwacht een 2FA en je krijgt die niet dan krijg je argwaan, aan de andere kant, wanneer je een 2FA krijgt en je verwacht hem niet dan is dat ook verdacht.

Daarnaast is het ook nog afhankelijk van de wijze van 2FA, is het Authenticator App of is het SMS.

Bij bepaalde site vul ik namelijk bij Authenticator App bewust 1 of 2 keer verkeerde code in als hij dan door zou gaan is dat ook verdacht.
hcQd 25 april 2018 08:28
Geen DNSSEC gebruiken, dan vraag je er ook om.
Onno 25 april 2018 08:28
Dienst achter cryptowallet wijdt omleiding naar phishingsite aan dns-hijack
Nu die omleiding ingezegend is werkt ie vast een stuk beter. :Y)
MrFax @Onno25 april 2018 08:45
Ik moest de titel een paar keer lezen voordat ik deze snapte. Er staat naar ipv aan. :+
w0nnapl4y 25 april 2018 09:19
Het geld leidt overigens naar een ander adres, dat zich inmiddels al in tientallen phishing aanvallen heeft gewurmd. Dit adres is de afgelopen 70 dagen al meerdere keren het eindpunt geweest van 1 van deze aanvallen. Dit adres heeft momenteel rond de 16,000,000$ aan waarde.
https://etherscan.io/addr...f3595c5032ee94b620a583a39

Aangezien tijdens de DNS-aanval er meerdere adressen zijn gemeld, is de omvang niet exact bekend, maar in ieder geval een stuk groter dan enkel van het 0x1D5 adres, ook al was dat in dit geval wel de grootste.

Veel ether is al tijdens en na de aanval direct of indirect naar verschillende exchanges gestuurd in kleine happen (o.a. Binance, Yobit, Kucoin), waardoor het bedrag van 215 Ether op het 0x1D5 adres ook niet klopt, maar een stuk groter uitvalt.
ViTO_xp 25 april 2018 08:28
Het is 'wijten aan' ;)

Dus: Dienst achter cryptowallet wijt omleiding naar phishingsite aan dns-hijack
19RAW68 25 april 2018 08:40
bij Equinix in Chicaco (?)
McOrmick @19RAW6825 april 2018 08:44
Yup; https://www.sec.gov/Archi...19312511118503/dex211.htm
cracking cloud @19RAW6825 april 2018 08:46
yes; https://www.equinix.com/l...ion/chicago-data-centers/
19RAW68 @cracking cloud26 april 2018 14:45
Inderdaad, Chicago en niet Chicaco. Typo is al aangepast in het artikel.
daikoko 25 april 2018 10:42
Het inloggen met eigen private key kunnen ze jouw wallet leeg roven... Wat gebeurt het dan met mensen die gebruik maakt van Metamask? Je zal toch eerst een bevestiging moeten doen via metamask?
w0nnapl4y @daikoko25 april 2018 11:27
Bij het invullen van pivkey of .JSON file + password is het meteen over. Jouw assumptie is verder correct.

Bij gebruik van MetaMask zul je bijvoorbeeld als je enkel 'inlogt' op de phishing site al een transactie maken. Deze transactie zul je dus via MetaMask moeten goedkeuren wil je je geld kwijt raken. Daardoor is het belangrijk om altijd goed te controleren wat je MetaMask (of Hardware wallet) aangeeft bij je handeling.

Helaas gebruiken veel mensen geen Metamask, Hardware wallet of letten ze gewoonweg niet goed op (bijvoorbeeld of het SSL-certificaat wel daadwerkelijk van MEW is).
Ook kijken helaas veel te veel mensen naar hun balans via MEW, terwijl het bekijken van je balans veel veiliger is op bijvoorbeeld Etherscan

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq