'Ontwikkelaars van Chrome-extensies zijn opnieuw doelwit van phishingcampagne'

Ontwikkelaars van extensies voor Googles Chrome-browser melden dat ze het doelwit zijn van een phishingcampagne, waarmee aanvallers proberen inloggegevens te achterhalen om mogelijk kwaadaardige versies van extensies te publiceren. Dit gebeurde al eerder bij diverse extensies.

Verschillende ontwikkelaars zeggen tegen ZDNet dat ze phishingmails hebben ontvangen, net als bij een eerdere campagne in de zomer van vorig jaar. Onder meer de ontwikkelaars van AdGuard en EtherSecurityLookup zeggen dat ze mails hebben ontvangen die afkomstig lijken te zijn van Kevin Murphy, een medewerker van het Chrome Web Store-team van Google. Daarin worden ze opgeroepen een 'geldig postadres' op te geven en contactinformatie in te vullen op een Google Form-pagina.

De koppeling naar het formulier leidde echter naar een ander domein. Om het nepformulier in te vullen, moeten de ontvangers van de phishingmail eerst inloggen bij Google. Daarbij komen ze echter op een nagebouwde maar overtuigend ogende inlogpagina terecht. Vullen ze daar hun inloggegevens in, komen deze bij de aanvallers terecht.

Daarmee kunnen ze vervolgens op het ontwikkelaarsaccount inloggen. Als de werkwijze ten opzichte van vorig jaar niet is gewijzigd, kunnen de aanvallers aan het account gekoppelde extensies aanpassen. Zo kunnen ze bijvoorbeeld advertenties in webverkeer injecteren of gevoelige gegevens zoals wachtwoorden buitmaken. Volgens ZDNet toont Google al sinds vorig jaar een waarschuwing aan ontwikkelaars dat er phishingmails rondgaan. De ontwikkelaars zeggen tegen de site dat deze waarschuwing echter zo vaak wordt getoond dat hij zijn effectiviteit heeft verloren.

In het verleden zijn verschillende extensies door kwaadwillenden aangepast nadat ze toegang hadden verkregen tot het eraan verbonden ontwikkelaarsaccount. Onlangs deden zich soortgelijke incidenten voor bij de extensies van Mega en Hola VPN.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 01-10-2018 16:55 14

01-10-2018 • 16:55

14

Lees meer

Google blokkeerde in 2018 minder advertenties dan het jaar daarvoor
Google blokkeerde in 2018 minder advertenties dan het jaar daarvoor Nieuws van 14 maart 2019
Google: Chrome filtert advertenties op 1 procent van websites weg
Google: Chrome filtert advertenties op 1 procent van websites weg Nieuws van 9 januari 2019
NOS: kant-en-klare phishingwebsites gemakkelijk te bemachtigen en overtuigend
NOS: kant-en-klare phishingwebsites gemakkelijk te bemachtigen en overtuigend Nieuws van 25 november 2018
Chrome 70 laat gebruikers permissies voor extensies per site instellen
Chrome 70 laat gebruikers permissies voor extensies per site instellen Nieuws van 2 oktober 2018
Gekaapte Mega-extensie voor Chrome onderschepte tijdelijk logins populaire sites
Gekaapte Mega-extensie voor Chrome onderschepte tijdelijk logins populaire sites Nieuws van 5 september 2018
Hola VPN: aanvallers hadden kortstondig controle over Chrome-extensie
Hola VPN: aanvallers hadden kortstondig controle over Chrome-extensie Nieuws van 11 juli 2018
Onderzoeker vindt meer door kwaadwillenden overgenomen Chrome-extensies
Onderzoeker vindt meer door kwaadwillenden overgenomen Chrome-extensies Nieuws van 16 augustus 2017
Chrome-extensie voor ontwikkelaars bevatte kortstondig kwaadaardige code
Chrome-extensie voor ontwikkelaars bevatte kortstondig kwaadaardige code Nieuws van 3 augustus 2017
Meer producten en artikelen
Beveiliging en antivirus Browsers Google Chrome Phishing Security

Reacties (14)

-Moderatie-faq
14
13
7
1
0
1
Wijzig sortering

Sorteer op:

Weergave:
cappie 1 oktober 2018 16:58
Is dit nou indirect een goede reden om Firefox te gebruiken? :)
Beagon @cappie1 oktober 2018 17:00
Hoezo? Dit heeft in eerste instantie niks te maken met Chrome maar met extensies en zelfs daarmee opzich nog niet. Firefox plugin developers kunnen net zo goed getarget worden voor een phishingcampagne zolang het marktaandeel maar groot genoeg is. Jammergenoeg is Chrome op dit moment de marktleider dus zijn Chrome extensie ontwikkelaar het doel.

[Reactie gewijzigd door Beagon op 26 juli 2024 02:39]

Koenzk @Beagon1 oktober 2018 17:39
De chrome webstore is een 'makkelijker' target omdat ze niet controleren met welk certificaat een extensie wordt geupload. Mozilla doet dit wel. Alleen met de inlog gegevens van een developer kun je bij Firefox geen kwaadwillende extensie uploaden, hiervoor moet je ook nog eens de private key van de developer zien te krijgen.
Cerberus_tm @Koenzk1 oktober 2018 19:52
Daarnaast controleert Mozilla de code van extensies voordat ze zichtbaar worden voor gebruikers, wat Google niet of veel minder doet. Dus bij Chrome heb je voor zover ik gelezen heb meer kans dat je malware in de extensiewinkel kunt zetten.
PostHEX @Koenzk1 oktober 2018 23:34
Naast dat mag ik hopen dat Google en Mozilla in de nabije toekomst ook de eis stellen aan devs die gebruik willen maken van hun distributie platformen, om FIDO2 authenticatie te moeten instellen, voordat zij iets op die netwerken kunnen plaatsen. Nu is het obstakel dat een fysieke key voor U2F geld kost, en dat dat een barrière is om dit te verplichten, maar met FIDO2 zullen WebAuthn compatibel authenticators ubiquitous worden (zoals de vingerafdrukscanner op je laptop dat tegenwoordig steeds meer een standaard feature is) of je smartphone (in de vorm van een prompt).

Mozilla heeft recentelijk de eis gesteld voor 2FA voor GitHub gebruik (al TOTP i.p.v. U2F), dus dat gaat de goede richting op.

Edit: en trouwens Google heeft voor challenge-response niet eens U2F of zelfs FIDO2 nodig, want het bied al een prompt optie aan voor dit. Ik snap niet dat Google het instellen van prompt 2FA niet verplicht maakt voor Google Accounts voor devs.

[Reactie gewijzigd door PostHEX op 23 juli 2024 23:56]

vosManz @Beagon1 oktober 2018 17:27
Dus ja, het is indirect inderdaad een goede reden om Firefox te gebruiken ;) Tenzij je geen plug-ins gebruikt, dan maakt het natuurlijk geen verschil.
(Want: minder marktaandeel dus zijn plugin developers voor Firefox minder snel het doelwit van een phishing campagne. Dat wil niet zeggen dat het niet kan voorkomen, maar waarschijnlijk wel minder snel. Ach, je legt het eigenlijk zelf al uit ;) )
Xalephsis @Beagon1 oktober 2018 17:42
Zo jammer vind ik dat helemaal niet als actief Firefox gebruiker anders.. :P

Maar terugkomende op je eerdere opmerking, dit is wel degelijk in eerste instantie gericht op Google Chrome toch? Het gaat immers om de repo eigenaren van plugins voor Google Chrome.
Brantje 1 oktober 2018 16:59
Mag hopen dat de devs die extensies maken. 2FA aan hebben staan, dat maakt het bijna onmogelijk om in te loggen zonder de 2fa code.
Beagon @Brantje1 oktober 2018 17:11
Dat zou je denken, maar zelfs veel developers zijn lui/denken te makkelijk. Ze zouden het eigenlijk verplicht moeten maken als je je aanmeld als developer bij Google.
Joystick @Brantje1 oktober 2018 17:26
Zelfs met 2FA kan je worden gehackt, niet voor een hele lange tijd. Maar het is zeker te kraken.
Keypunchie @Joystick1 oktober 2018 17:57
Niet zozeer te kraken, als dat er slimmigheidjes zijn om er omheen te werken.

Voor gmail bijvoorbeeld: een phishingpagina waarin zowel je login, pass als 2fa wordt gevraagd. Kan de aanvaller meteen door naar je gegevens.

Toch zou ik het wel goed vinden als Google dit voor het uploaden van een nieuwe versie naar de store zou verplichten, maakt het wel iets lastiger.
Joystick @Keypunchie2 oktober 2018 11:01
Precies! Dat bedoelde ik eigenlijk ook.
Blijf altijd alert voor gekke sites! :P
etiennebruines @Joystick1 oktober 2018 17:52
Bron?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq