FluBot-malware treft België opnieuw, providers onderscheppen 14 miljoen sms'jes

Telecomproviders Telenet, Proximus en Orange hebben 14 miljoen frauduleuze sms'jes onderschept die een link naar de FluBot-malware bevatten. Ook blokkeerden ze tijdelijk tweeduizend nummers. Dat schrijft VTM Nieuws. In mei ging de malware ook al rond in België.

Volgens VTM Nieuws werd België in de afgelopen week 'overspoeld met frauduleuze sms'en'. Dagelijks onderscheppen Telenet, Proximus en Orange samen ongeveer twee miljoen berichten met een link naar de FluBot-malware. Het is de tweede keer dat de malware rondgaat in België. In mei waarschuwden de Belgische telecomwaakhond BIPT en het Centrum voor Cybersecurity België ook al voor een 'tsunami aan smishing-berichten'.

In mei zat de malware in een bericht dat afkomstig leek van postbedrijf Bpost. Nu zit het in een bericht dat afkomstig lijkt van DHL, schrijft VRT. Het bericht meldt dat een pakket onderweg is en vraagt de ontvanger een Android-app te installeren, die is besmet met de malware. De FluBot-malware krijgt na installatie volledige controle over de telefoon en is uit op onder meer creditcardgegevens. Als gebruikers de app downloaden, wordt vanuit de naam van de gebruiker smsjes verstuurd naar contacten. Ook kan de malware berichten lezen en phishingwebsites laden wanneer er een bankapplicatie wordt opgestart.

De app kan niet worden verwijderd, als deze eenmaal aanwezig is op de telefoon. Het enige dat helpt is de telefoon terug te zetten naar de fabrieksinstellingen, of de telefoon te herstarten in 'safe mode'. Dan kan de app wel verwijderd worden. Het is nog steeds niet bekend wie er achter de malware zit. De malware trekt al enkele maanden door Europa. In mei waarschuwde de Nederlandse politie ook voor FluBot.

IT-banen

Reacties (128)

memphis 14 september 2021 09:38

Tja... mijn schoonzus laatst ook. "Hoe krijg ik de DHL app eraf?" Na wat doorvragen bleek dus dat haar telefoon raar deed nadat ze die app had geïnstalleerd omdat er een pakket zou klaar staan en gezien ze overal online besteld......
Nou ja, de 1e oplossing bleek een algehele factotry reset wat ze ook gedaan had en toch maar blijven vragen dat ze nu allemaal boze SMS'jes en telefoontjes kreeg. Ze kon zich niet indenken dat na wat de bot hat aangericht nat nog wel even bijft door etteren.

Maar ondanks dat de reset was uitgevoerd kwam ik op deze site waar wel een tool te vinden is voor het verwijderen van de bot https://github.com/linuxct/malninstall

Yucko @memphis • 14 september 2021 11:38

dat is leuk, maar dat moet je gebruikers vragen om iets te doen (buiten de store om apps installeren) waarmee ze net iets vernaggeld hebben.
En dan moet je er maar vanuit gaan dat die app idd alle rotzooi verwijderd. Persoonlijk zou ik die Android telefoon niet meer vertrouwen totdat er een factory reset had plaatsgevonden.

Dus ik zou kiezen voor de factory reset.
Aan het eind meer werk om alles weer zo krijgen hoe je het graag hebt, maar dat is dan maar een leermomentje voor de eigenaar van de telefoon.

Marve79 @Yucko • 14 september 2021 11:53

Inderdaad, een gecomprimeerd systeem kun je nooit meer vertrouwen.

theobril @Marve79 • 14 september 2021 16:29

"gecomprimeerd"? Kan het zijn dat je gecorrumpeerd of compromised bedoelt?

Marve79 @theobril • 14 september 2021 18:02

Ja compromised bedoelde ik idd in een waardeloze vertaling.

El_Bartholomew @Marve79 • 14 september 2021 18:44

gecompromitteerd

[Reactie gewijzigd door El_Bartholomew op 22 juli 2024 21:45]

Marve79 @El_Bartholomew • 14 september 2021 19:09

Die zocht ik idd. Lange dag

FrostyPeet @Yucko • 14 september 2021 12:45

Wijze woorden, factory reset bij een besmette smartphone. Beter wat extra tijd eraan besteden dan de kans lopen dat er wat rommel achterblijft.

goarilla @Yucko • 15 september 2021 01:40

Maar wat doet een "factory reset" eigenlijk ? Is het gelijkwaardig aan een format en fresh OS install van betrouwbare media op een Desktop ?

memphis @goarilla • 17 september 2021 13:57

Het brengt het systeem terug naar de originele ROM en wist daarbij alle software en data van het vrije geheugen.

TheCeet 14 september 2021 09:18

Misschien handig voor sommigen:
Mede Tweaker @Webgnome heeft zelf een list gemaakt om toe te voegen in je Pi-hole, AdGuard Home etc.

Hieronder de link:
https://raw.githubusercon...main/flubot_blocklist.txt

erik_t @TheCeet • 14 september 2021 11:51

Handig die lijst! Alleen zo lang

Dit is een verkorte samenvatting (voor in /etc/dnsmasq.conf):

address=/.cn/
address=/.ru/
address=/.su/

(Houdt meteen ook veel andere malware buiten de deur

)

Scriptkid @erik_t • 14 september 2021 12:05

alleen lastig zaken doen met china bij jouw lijst

erik_t @Scriptkid • 14 september 2021 12:06

Aliexpress is toch nl.aliexpress.com ? .cn heb ik verder niet nodig

Scriptkid @erik_t • 14 september 2021 12:11

aliexpress != china. dat is een locale distribiteur met veelal slechte elcheapo namaak producten die heel slecht voor het milieu zijn.

nomad_ @erik_t • 14 september 2021 16:17

Deze is een keer eerder hier voorbij gekomen:

/^[a-z]{15}\.(ru|su|cn)/

[Reactie gewijzigd door nomad_ op 22 juli 2024 21:45]

michielonline 14 september 2021 08:36

Ik heb al redelijk wat jaren geleden mijn Android telefoon vervangen door een iPhone, en ik weet dus niet hoe het tegenwoordig werkt (dit is geen flame, ben gewoon benieuwd hoe Google hedendage zijn gebruikers beschermt tegen dit soort troep), maar mag toch hopen dat er tegenwoordig wat waarschuwingen gegeven worden als je een app wil installeren uit een untrusted source? Een gebruiker moet dus niet enkel in het smsje trappen, maar toch ook een rits aan waarschuwingen van het OS wegklikken zonder te lezen?

Overigens mogen NL providers ook wel eens actief SMSjes gaan blokkeren. Ik krijg minimaal 1x/maand een SMS van een bank dat ik mijn rekening moet bevestigen oid. in AL deze smsjes staat een link beginnend met https://s.id Hoe makkelijk is het om dat te filteren? Alle berichten met die string erin meteen de prullenbak in maar helaas wordt dat niet gedaan. En als het niet op string kan, dan toch wel op volume? Als dezelfde sms X keer verstuurd wordt binnen Y tijd naar Z ontvangers dan kan deze toch wel nader bekeken worden op validiteit? (Ok dan komen de eerste 100 misschien door, maar dan blokkeer je de rest in ieder geval.)

t-force

@michielonline • 14 september 2021 09:00

Ook Apple laat steken vallen zie de berichtgeving over iOS 14.8.
Daar gaat het feitelijk om iets ernstigers. Een berichtje kan meteen root software installeren zonder actie van de gebruiker. Dus de gebruiker hoeft niet eens op een link te klikken en een app te installeren.

Over het algemeen denk ik dat iOS veiliger is. Maar gezien deze voorvallen is dat ook niet zeker.

Ik gebruik trouwens ook Apple maar heb een VPN met DNS bescherming (NordVPN) en gebruik in huis een Pi-Hole DNS server.

Voor het gemak een linkje naar het iOS 14.8 artikel toegevoegd:
nieuws: Apple roept gebruikers op besturingssystemen te updaten om nieuwe NSO...

[Reactie gewijzigd door t-force op 22 juli 2024 21:45]

xbeam @t-force • 14 september 2021 09:34

Vpn is geen bescherming. En waan als je blieft niet veilig met een vpn of Nord.

Daarnaast is de Apple bug is van hele een andere orde en speelt ook op Android. Het gaat hier om bug die door geheime diensten van landen/Staten misbruiken werd. De software tool (Pegasus) is een zero day bug en was zo duur dat hij niet of nauwelijks door hackers of scammers gebruikt word.
Zie Pegasus uitleg
https://youtu.be/G7H9uo3j5FQ

Edit: ik zie dat veilig met vpn hebt aangepast (of ik heb het verkeerd gelezen, zou zomaar kunnen ) naar dns filtering, maar ook dat is nooit helemaal waterdicht

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

t-force

@xbeam • 14 september 2021 09:44

Niet aangepast, dat VPN met DNS stond in mijn originele post.
Afgezien daarvan ben ik me geheel bewust dat dat niet veilig is, maar wel veiliger.
De VPN is voor mijn privacy en de DNS voor de tracking en advertentie en een klein beetje veiligheid aangezien die bots ook gebruik maken van linkjes met domeinnamen die ook in DNS block lijsten komen.

Dus al met al veiliger.

En ik ben me heel bewust van al die SMS-en en mails met rare linkjes.

xbeam @t-force • 14 september 2021 10:41

Welke privacy. Je hebt bij je NL /BE provider een betere privacy bescherming (verplichte dns wassing ) dan bij welke vpn provider dan ook.

Vpn voor privacy is een USA ding omdat daar provider actief aan dns logging en gegevens verkoop doen. In de vs is bijv 8.8.8.8 een kleine privacy vooruitgang hier een hele grote achteruitgang.

Wil je dns filtering doe het zelf met bijv een pi-hole of neem een dns product af van een gerenommeerd liefst Eu Security’s bedrijf. Die je via de rechter verantwoordelijk kan houden voor gebreken of contract breuk.

Dus niet van een of andere (geen idee waar nord zit) vpn boer die je op zijn blauwe ogen moet geloven dat zijn gratis dns toevoeging werkt en up to date is. Of Niet meer filtert dan je eigenlijk wil (censuur) of toch je privacy aan dictators of NAS door geeft om dat ze in Rusland, China of de VS zitten.

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

sircampalot @xbeam • 14 september 2021 10:56

Ik kan me nauwelijks voorstellen dat dns logging door google (8888) minder erg is dan logging door de ISP.

PiHole scheelt al, en als je die combineert met unbound, dan heb je denk ik wel gedaan wat er mogelijk is tegen dns logging.

Dat laatste staat hier beschreven

[Reactie gewijzigd door sircampalot op 22 juli 2024 21:45]

xbeam @sircampalot • 14 september 2021 11:07

Yes, ik ken unbound draai ik zelf ook (control freak) maar ISP mogen niet aan dns loggin doen.(tenzij gerechtelijke bevel/toestemming voor een TAP maar dan word je al verdacht van een misdrijf ) Door de wassing is niet te achterhalen wie welke dns request heeft gedaan. En ze mogen het nergens voor gebruiken. Bij 8.8.8.8 geef je hele digitale leven bloot aan werelds grootste reclame bedrijf 🤦 gevestigd in de vs waardoor ze onder de cloud act vallen. Gechargeerd gezegd wanneer jij naar de vs gaat mag de politie/Douane daar alles over je opvragen bij Google en wanneer ze iets zien wat ze niet bevalt kunnen ze je weigeren aan de grens.

Je provider ken je en daar heb je al een contract meer waar ze dingen beloven en waar je ze aan kan houden. Daarom je als dan toch een dns upstream gebruikt doe dan die van je NL provider dat is een van best privacy beschermde dns services in de wereld en je kan ze nog aanklagen ook :-)

Tweakers heeft hierover zelfs een mooie presentatie over online staan.
https://youtu.be/ZWabMpBGgUU

En hier een andere versie iets uitgebreider maar zelfde verhaal
https://youtu.be/pjin3nv8jAo

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Mopperman @xbeam • 14 september 2021 12:04

8.8.8.8 is zo 2010… ik heb al jaren geleden afscheid van genomen, sindsdien gebruik ik eerder 1.1.1.1 icm pihole.

xbeam @Mopperman • 14 september 2021 12:40

Zelfde laken en pak.
Kijk de presentatie van Bert hubbers

Verwijderd @Mopperman • 14 september 2021 12:58

1.1.1.1 is ook achterhaald, nu is nextdns al beter

xbeam @Verwijderd • 14 september 2021 16:58

Niet helemaal 1111 biedt veel meer en is veel geavanceerder met zero trust applicaties en teams. Maar dat is voor de pro markt.

Verwijderd @xbeam • 14 september 2021 17:35

1.1.1.1 is niet meer dan een dns van zich zelf voor het programma publiek

xbeam @Verwijderd • 14 september 2021 22:33

1.1.1.1 is niet alleen een dns, maar complete gateway /proxy/ distributie netwerk. waar je bijv jou thuis netwerk aan kan koppelen zo dat bijv je NAS met eigen public IP achter de 1.1.1.1 cloudflare gateway firewall /proxy (gateway) zit inclusief (acces) , dus zonder vpn voor jou en familie (teams) alleen toegankelijk is.

Geen idee wat je met programma publiek bedoeld? Maar de primaire doelgroep van 1.1.1.1 (cloudflare) is wat producten betreft is groot zakelijk (multinationals) en klein zakelijk/privé gebruik is gratis.
Toegang tot je nas of andere app’s
https://www.cloudflare.com/teams/access/

Full control over je DNS filtering en https AV
https://www.cloudflare.com/teams/gateway/

MPLS/SD-wan
https://www.cloudflare.com/magic-wan/

Ik zie next DNS dit aankomende jaren nog niet doen ;-)

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Verwijderd @xbeam • 15 september 2021 05:48

Ik doelde op public dns resolver feitelijk is dat 1.1.1.1

Verwijderd @michielonline • 14 september 2021 08:54

Als je een apk (dus app bestand) wilt installeren vanuit een onbekende bron is dit standaard geblokkeerd, je moet eerst expliciet toestemming geven dat een bepaalde app ook apps mag installeren. Dus als je bijvoorbeeld Chrome toestemming geeft om apps te kunnen installeren, dan kan je niet vanuit je mail ook direct alles installeren.

Het probleem is echter dat dit soort criminelen gewoon goed zijn in social engineering. Zolang je verhaal maar goed genoeg is doen heel veel mensen helemaal niks met een instelling, geven ze misschien de fabrikant van hun telefoon de schuld omdat het zo moeilijk is om een app te installeren die bpost naar je stuurt. Dus je aanname klopt, het is niet alleen een sms'je maar ook actief de beveiliging uitschakelen om een app te installeren, maar mensen zijn nu eenmaal makkelijk over te halen.

Overigens mogen NL providers ook wel eens actief SMSjes gaan blokkeren.

En ik zou er maar vanuit gaan dat dit al gebeurt. Dat je nog steeds sms'jes krijgt betekent niet dat er helemaal niks aan gedaan wordt natuurlijk, een dergelijk systeem werkt nu eenmaal niet 100%. Maar 90% filteren is nog steeds beter dan helemaal niks filteren. Om er dan maar vanuit te gaan dat er niks gefilterd wordt is een beetje kort door de bocht, als Tweaker moet je toch begrijpen dat perfecte systemen nooit zullen bestaan

En 'hoe makkelijk is dat om te filteren', het antwoord is absoluut heel moeilijk inderdaad. Want even een regex string filter er overheen lost natuurlijk heel weinig op, dat is een beetje een oplossing die je in een startup met 5 man kan doen, maar KPN krijgt daar dan heel veel gezeik mee. De scammers passen gewoon een string aan, maar de mensen die toevallig over hun bank een sms'je sturen worden er wel uit gefilterd. Een 'vang alles maar op basis van tekst' filter is natuurlijk een hele slechte oplossing. Maar nogmaals, je aanname is dat er geen filtering is. Ga er maar vanuit dat er een stuk meer spam wordt verstuurd dan jij binnen krijgt. Hetzelfde met maildiensten, de spam die jij binnenkrijgt is al gefilterd, een groot deel haalt jouw mailbox nooit, dat betekent niet dat het niet bestaat maar gewoon dat jij niet 100% van alle spam binnen krijgt. Past wel in de tijd, 100% of niks, de middenweg bestaat niet, maar gelukkig bestaat de middenweg wel

[Reactie gewijzigd door Verwijderd op 22 juli 2024 21:45]

Wivern @Verwijderd • 14 september 2021 10:35

Criminelen goed is social engineering? Ja... gemiddelde eindgebruiker dom? Zeker ja.

pepsiblik @Wivern • 14 september 2021 11:17

Lulkoek. Ik werkte voor een bedrijf waar dag in, dag uit cyber veiligheid werd gepredikt. Met cursusen, voorbeelden, de hele meuk. En toen was er een oefening en van de duizend IT-ers die de test email kregen, handelde 40 % niet op een veilige manier (denk aan het forwarden van de email naar de team manager, terwijl de instructie is om de mail te verwijderen) en 10% opende de mail...

Ook getrainde mensen trappen er soms in. Door stress, door het niet goed lezen en bekijken, door een gevoel van valse veiligheid (Norton lost het wel op, we hebben een firewall, etc.). Dus klop jezelf niet teveel op de borst en noem anderen niet te vlug dom.

Verwijderd @Wivern • 14 september 2021 10:48

Dom heeft er weinig mee te maken, dat voelt meer als een 'ik ben slimmer want ik vind IT leuk' statement, leuk voor op Tweakers maar totaal onwaar. Daarnaast is het heel gevaarlijk om te denken 'ik ben slim dus social engineering is bij mij niet mogelijk', dat is namelijk gewoon niet waar en juist als je denkt immuun te zijn kun je nog veel harder worden gepakt

Dom en interesse vind ik twee andere dingen. Als het gaat over een ander vakgebied ben jij daar weer 'dom' in, terwijl dat net zo belangrijk is.

Bulkzooi @Verwijderd • 14 september 2021 11:48

@Verwijderd Een crimineel komt inderdaad niet van te voren vertellen dat hij je geld afhandig komt maken.

Als je dat gelijk doortrekt naar social engineering, dan is alles social engineering. Zeker aangezien de politie tegenwoordig vaak crimineel gedrag kopieert. Maar dat geldt dan ook voor bv. de handleiding van de telefoon. Die is ook zo gemaakt dat de verantwoording naar de eindgebruiker verschoven wordt; alle voorwaarden zijn hier op gericht, en dat zijn er nog al wat (ToS, EULA, privacy, enduser, etc)

Nah, gebruikers hebben simpelweg geen controle over hun apparaten en zeker niet over de betreffende infrastructuur.

Verwijderd @Bulkzooi • 14 september 2021 11:51

Maar zelfs dan, scams worden tegenwoordig wel een stuk uitgebreider en geavanceerder. Waar scams vroeger expres fouten maakten zodat ze alleen de makkelijk te pakken doelwitten kregen, zien mails er nu heel vaak wel echt uit alsof ze van bijvoorbeeld bpost komen. Dan kun je nog zo goed zijn in pc's en je hele leven wijden aan IT, je kunt er nog steeds in trappen.

De tijd dat je met als IT'er een voordeel had is echt wel voorbij, scams zijn niet voor 'die domme niet IT mensen' maar voor iedereen, ook de domme IT'er die niks weet van alles wat er buiten de IT gebeurt

Bulkzooi @Verwijderd • 14 september 2021 11:57

@Verwijderd Ook niet; de meeste van de heftigste exoits gebruiken zeer fundamentele technieken en oude protocollen. HTTP headers en de data packetjes op individueel niveau aanpassen en over TCP versturen.

Het gaat ook niet of een gebruiker wel of niet dommer is dan iemand met wat meer computerkennis. Het gaat erom dat de techniek onveilig is en dat de gebruiker, ongeacht de level van gebruik, bijna zeker een inzichtprobleem heeft, op datalevel.

Een Assembly programmeur is bv. een betere gebruiker dan een C/C++ programmeur. Simpelweg omdat die toegang heeft tot een extra vertaalslag waar zelfs goede C/C++ programmeurs moeite mee hebben. En dat is altijd zo geweest.

Dus ik denk niet zozeer dat scammers beter worden. Ik denk eerder dat cybersec slechter wordt en steeds verder verwijdert raakt van wat er op lowlevel gebeurd. Afgeleid door allerlei ruis en nieuwe technieken, die enkel dienen als schil voor de oudere.

[Reactie gewijzigd door Bulkzooi op 22 juli 2024 21:45]

PearlChoco @Wivern • 14 september 2021 11:52

Een groot deel van de gemiddelde eindgebruikers behoort ook tot een andere leeftijdscategorie dan de gemiddelde Tweaker.

Ik zou mijn oma van 75 jaar zeker niet dom noemen, maar als zij dergelijke fishing smsjes krijgt acht ik de kans zeer groot dat ze er in trapt.

Atomsk @Verwijderd • 14 september 2021 09:24

Ik denk dat je er beter vanuit kunt gaan dat er helemaal niets gefilterd wordt door telecombedrijven. SMS scannen op inhoud zou een schending zijn van je privacy. Daar zou je eerst toestemming voor moeten geven en volgens mij staat zoiets nergens in de voorwaarden wanneer je een abonnement afsluit.

Google zelf doet er al wat aan: je kunt SMS afzenders blokkeren en spam melden, maar dat helpt weinig wanneer de afzender een bekende is.

Eusebius @michielonline • 14 september 2021 08:52

Ja, of nummers van scammers blokkeren. 100x gaan misschien door, maar na (genoeg) meldingen wordt een nummer geblokkeerd. Helaas kost zoiets het bedrijf geld /s

Mopgaserop! @Eusebius • 14 september 2021 09:15

Vooral dit is een groot probleem, ik ben zeer voorzichtig met mijn data geven, echter wordt ik toch vaak gebeld van een onbetrouwbare bron, heb ook ingesteld dat ze per direct worden smart geblokkeerd.

Verwijderd @michielonline • 14 september 2021 09:36

Gebruik nextdns, heel simpel en maak je eigen vuurmuur

jj71 @michielonline • 14 september 2021 10:21

Natuurlijk kun je op Android niet zomaar een app installeren vanaf een onbekende bron.

Kijk goed naar wat er in de SMS van de criminelen staat: "Als er een venster verschijnt dat de installatie verhindert, selecteer dan "instellingen" en schakel de installatie van onbekende apps in".

Een gebruiker moet dus niet enkel in het smsje trappen, maar toch ook een rits aan waarschuwingen van het OS wegklikken zonder te lezen?

Ja inderdaad, zo werkt dat. Het jammere is dat sommige mensen hun brein uitzetten en veranderen in makke schapen die zich door de wolf laten leiden als ze zo'n melding zien, en alle beveiligingen uitschakelen omdat de SMS ze vertelt dat ze dat moeten doen...

[Reactie gewijzigd door jj71 op 22 juli 2024 21:45]

blinchik @michielonline • 14 september 2021 10:24

Ik begrijp ook niet dat mensen die weinig technische kennis hebben (en dus wel de doelgroep zijn van die sms) een untrusted apk kunnen installeren.

Weliswaar kan het onder Android (wat ik ook echt een voordeel vind), maar je moet al heel wat exceptions instellen om het te doen. Als ik dan rond me kijk en weet hoe moeilijk het is om aan een leek uit te leggen hoe die een simpele instelling moet wijzigen, verbaas ik me echt dat veel mensen er gewoon nog maar in slagen om die Flubot te installeren.

xFeverr @michielonline • 14 september 2021 09:41

Ik heb al redelijk wat jaren geleden mijn Android telefoon vervangen door een iPhone, en ik weet dus niet hoe het tegenwoordig werkt (dit is geen flame, ben gewoon benieuwd hoe Google hedendage zijn gebruikers beschermt tegen dit soort troep), maar mag toch hopen dat er tegenwoordig wat waarschuwingen gegeven worden als je een app wil installeren uit een untrusted source? Een gebruiker moet dus niet enkel in het smsje trappen, maar toch ook een rits aan waarschuwingen van het OS wegklikken zonder te lezen?

Ja, deze waarschuwingen zijn er inderdaad. Maar wat is hier de onbekende bron? Men ziet een groot Bpost-logo, dat is wel een betrouwbare bron. Ik vertrouw Bpost, dus installeren maar! Dat Bpost dus niet de bron is, is onduidelijk. (Want anders was je niet eens zo ver gekomen).

Verwijderd @michielonline • 14 september 2021 10:27

Er is een grens tot waar je een gebruiker kan helpen tegen diens eigen onkunde, Linux wordt ook als veiliger beschouwd als Windows. Plaats echter dezelfde onkundige gebruiker op Linux en deze helpt het systeem zelf binnen de kortste keren om zeep, door alles te installeren of commando's uit te voeren wat men zegt te doen om bijvoorbeeld een spel werkende te krijgen.

Er zal uiteraard wel meer malware gericht zijn op Android omdat er gewoonweg meer gebruikers zijn op dat platform (72%~ vs 26%~) en dus het bereik veel groter en interessanter is, hetzelfde geldt voor Windows vs Linux/MacOS.

We zullen het uiteindelijk nooit 100% zeker weten hoe de wereld van malware eruit gezien had als de percentages omgedraaid zouden zijn. Zouden Linux en IOS dan alsnog veiliger zijn t.o.v. van de concurrenten of zou je om de haverklap artikelen krijgen van malware en andere veiligheidsrisico's?

GoBieN-Be @michielonline • 14 september 2021 11:52

Je moet in de instellingen gaan duiken om installatie van onvertrouwde bronnen aan te zetten, er is dus een duidelijkz drempel. Maar toch klikken en doen mensen alles achteloos.

Transferno @michielonline • 14 september 2021 12:01

NL providers blokkeren al heel wat spam en fishing.
Maar in jouw voorstel zouden ze al onze smsjes inhoudelijk moeten scannen, en laat dat net bij wet verboden zijn.
Wat ze wel kunnen doen is kijken hoe groot een sms is, en als vanaf 1 nummer enorm veel smsjes met ogenschijnlijk dezelfde grootte verstuurd worden, kunnen ze die aanmerken.
Helaas gebruiken dit soort spammers een hele hoop nummers. Zo bleek dat ze gewoon prepaids kopen in de supermarkt en dan een apparaat telkens van sim laten wisselen als deze geblokeerd wordt. En zelfs de tekst een beetje laten varieren zodat de sms grootte telkens anders is.
Het kan de spam dus wel verminderen maar moeilijk helemaal uitsluiten.

Vergeet ook niet dat er klanten zijn die terrecht eenzelfde smsje naar meer ontvangers sturen, dat wil je ook niet gaan blokkeren als provider. Dus er moet slimmere software komen die het spam gedrag en normale gedrag onderscheid. Ik denk dat die er ook is of komt, maar dat het nog een traject is waarbij de spammers slimmere manieren bedenken en men de software telkens optimaliseert.

Verwijderd 14 september 2021 08:31

Gebruik nextdns of pihole of adguard home met oisd blocklijst, en dan te hopen of het domein wat in de sms staat geblokkeerd is

Wisher @Verwijderd • 14 september 2021 08:36

Yep, maar die knakkers worden steeds 'sneller'. Dus een domein registreren en direct een SMS-golf eruit gooien.

Dit is ook de reden dat onze firewall nieuwe domeinen (<2 maanden actief) pas toestaat na vrijgave door het beheerteam. Lastig bij de launch van een nieuwe website, maar het voorkomt deze hit-and-runs...

Verwijderd @Wisher • 14 september 2021 08:40

Niet geheel mee eens, nextdns heeft een optie dat nieuwe domein die onder de 30dagen oud zijn niet toegankelijk zijn.

Pascal @Wisher • 14 september 2021 08:56

Interessante optie in je firewall! mag ik vragen welke firewall jullie gebruiken?

xbeam @Pascal • 14 september 2021 09:11

Dat doet de dns server software. niet de firewall.

Ik gebruik DNSWatch op mijn gateway’s en voor onderweg op de cliënt de DNS Watch go APP.

De app voorkomt ook host file hijacking en zorgt voor liggen van alle requests die een client doet.

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Wisher @Pascal • 14 september 2021 09:16

https://www.forcepoint.co...-next-generation-firewall

t-force

@Pascal • 14 september 2021 09:23

Mikrotik, maar die doet standaard geen DNS bescherming.
Met RouterOS 7 gaat MKT wel Docker ondersteunen. Dat geeft als optie om Pi-Hole op je router te installeren.
Maar Pi-Hole draait ook op een simpel Raspberry PI of als docker op een Synology NAS.
Opties zat.

t-force

@Wisher • 14 september 2021 09:04

Ik zie het ook aan de SPAM. Ze gebruiken nieuwe geregistreerde fantasie domeinnamen en vaak onder .work, .casa, .space etc.
De namen veranderen per dag.
En dat neemt ook weer toe qua hoeveelheid.

Wij blokkeren standaard de genoemde 'moderne' tlds zowel op host niveau als op email adres niveau.
Jammer voor diegene die een .casa of een .work etc. registreren. Die zal ik handmatig moeten excluden als ze met ons willen mailen.

xbeam @Wisher • 14 september 2021 09:10

Daarom blokkeer ik (moet eigenlijk iedereen doen) standaard new geregistreerde domein namen in je dns server.

t-force

@xbeam • 14 september 2021 09:21

Kan Pi-Hole dit ook??

xbeam @t-force • 15 september 2021 19:10

Ja, door een commerciële AV / security provider als upstream te gebruiken. Wanneer je unbound gebruikt kan je een 2 dns server met AV upstream synced
https://github.com/vmstan/gravity-sync

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

blinchik @Wisher • 14 september 2021 10:31

Inderdaad heel lastig bij de launch van nieuwe domeinen wat bij ons toch vaak gebeurt (en bv. voor Corona hebben wij ook heel wat nieuwe dingen moeten lanceren voor medische informatie, vaccinaties, ...).

Ook zie ik vaak dat het niet echt nieuwe domeinen zijn, maar gehackte legitieme bedrijfjes waarvan de website misbruikt wordt.

Fortigate onderhoudt bv. een dns lijst met zo'n malafide domeinen (of gehackte), maar er zijn er ook andere (bv. https://www.dnsbl.info). Die gebruiken wij. Of je zou natuurlijk .be en .nl kunnen whitelisten als je echt daily new bread dnslists wil gebruiken.

Maar het helpt natuurlijk ook niet echt voor gsm's die niet van jouw dns gebruik maken (wat normaal het geval zal zijn).

DigitalExorcist @Verwijderd • 14 september 2021 08:49

Dat is leuk voor thuis maar zodra je op 4G zit en dan het SMS'je krijgt en met een halfslaperig hoofd de link aanklinkt, helpt je PiHole thuis je ook niet meer.

jaenster

@DigitalExorcist • 14 september 2021 08:52

Daarom zorg je dat je altijd naar huis verboden met middels vpn

DigitalExorcist @jaenster • 14 september 2021 08:56

Meh. Dat zou kunnen maar met de gebrekkige staat van internet in dit land (Nederland) heb je vaker géén verbinding dan wel, dus klapt die VPN er ook constant uit.

Verwijderd @DigitalExorcist • 14 september 2021 11:54

Sorry maar dit is wel echt typisch Nederlands klagen over iets, want ben je Nederland wel eens uit geweest? Als jij vaker geen verbinding hebt dan wel zou ik toch eens aan de bel trekken, in plaats van rondbazuinen hoe slecht Nederland is. Nederland is namelijk redelijk goed wat betreft internet, hoe erg jij het ook haat.

DigitalExorcist @Verwijderd • 14 september 2021 12:39

We kunnen niet eens fatsoenlijk glasvezel aanleggen of overal in Nederland mobiele dekking bieden... ok het is nog niet zo treurig als België of Amerika, dat is zo.

Fabfabfab @DigitalExorcist • 14 september 2021 14:17

https://en.wikipedia.org/...ies_by_4G_LTE_penetration BE & NL doen het heel goed op gebied van mobiele dekking
https://fairinternetrepor...internet-speed-by-country ook op het gebied van vast internet doen BE & NL het zeer goed

[Reactie gewijzigd door Fabfabfab op 22 juli 2024 21:45]

PBX_g33k @DigitalExorcist • 14 september 2021 09:23

Dan zou ik een andere provider kiezen.

Ik ben nu een aantal weken in het buitenland en heb thuis op xs4all een vpn server draaien die tot nu toe nog geen enkele moment down is geweest. Ik heb dan ook op al mijn apparaten een always on VPN verbinding opgezet waardoor ik gebruik kan blijven maken van pi-hole en andere filters op mijn thuisnetwerk

Verwijderd @DigitalExorcist • 14 september 2021 09:04

Nextdns makkelijk voor buitenshuis

DigitalExorcist @Verwijderd • 14 september 2021 09:09

Ja dat zou inderdaad nog wel kunnen. Zal het eens bekijken..

Verwijderd @DigitalExorcist • 14 september 2021 09:23

Heel ons huis gebruikt het, heel fijn en nooit problemen mee, ook over de grens niet

Yoshi 14 september 2021 08:21

2 miljoen, maar hoeveel zijn er doorgekomen? in mijn blocked & spam folder van mijn smsjes zijn er vorige week zes toegekomen :-). Ik heb ook bericht van mijn provider zien voorbijkomen om dit te melden. Dus hopelijk niet teveel mensen ingetrapt.

Orange Info: Frauduleuze sms-berichten doen de ronde. Ben je niet zeker van de afzender? Klik niet op de link in de sms en verwijder hem. Heb je erop geklikt? Zet je toestel terug naar fabrieksinstellingen. Onthoud: Orange SMSjes komen altijd van een viercijferig nummer.

kan me voorstellen dat de niet IT-onderlegde persoon, die een pakje ontvangt er al wat sneller op klikt. Zelfs al ze je app of OS het in een spam & blocked folder.

[Reactie gewijzigd door Yoshi op 22 juli 2024 21:45]

Wisher @Yoshi • 14 september 2021 08:32

Precies dit. Ik vind mezelf best tech savvy en alert, maar ik verwachtte een pakketje en ik kreeg in een druk moment een SMS dat "mijn pakketje" op een bezorgpunt is afgeleverd en door op een link te klikken kon ik het afleveradres bevestigen of zoiets... . En alle namen/tijden klopte per ongeluk.

Dus ik wilde op die link gaan klikken toen ik zag dat het geen DHL link was en heb ik e.e.a. gecheckt via de track-and-trace van DHL en bleek dat mijn pakket nog gewoon onderweg was.

Maar de grens tussen echt en nep wordt steeds kleiner. Dus het aantal mensen wat erin zal trappen zal hoger gaan worden.

/ ik verwacht overigens wel dat als je op de link klikt dat daarna ook weer alarmbellen afgaan zodat je toch niet doorgaat met pincodes of creditcardnummers, maar goed... Als zoiets valt op de goede tijd....

DigitalExorcist @Wisher • 14 september 2021 08:50

Dat is het lullige er ook aan. Ik ben ooit eens overgestapt van T-Mobile naar Vodafone, kreeg 2 weken na het omzetten een 'factuur' van T-Mobile wegens nog openstaande kosten. Ik moest ook echt even 3x kijken voordat ik zag dat het fake was, maar omdat de timing *zo* goed was had ik er ook zomaar in kunnen tuinen.

BeosBeing @DigitalExorcist • 16 september 2021 17:14

@Wisher ,@DigitalExorcist

Kijk, dat is het hem. Als bij 10% van de mensen de timing ongeveer klopt, en daardoor 1% van de mensen er in trapt, dan is het voor die lui meestal al behoorlijk lucratief. Één keer per maand zo'n actie - bv steeds in een ander land, en je kan leven als een god in Frankijk, laat staan in een land waar de costs of living laag zijn.

We zijn gewoon toe aan een systeem waarin zulke zaken onmogelijk zijn. GisterenMaandagavond was het weer Radar op de TV*1 en het ging weer eens over telefonische verkoop, en nu sinds 1 juli particulieren niet meer ongevraagd gebeld mogen worden richten ze zich op ZZP-ers, MKB. De slachtoffers worden gebeld met een "aanbieding" voor vermelding op een onbekende website*2 voor het bedrag van €450 excl. BTW (544,50) gedurende 1 maand. Het telefoonscript wordt razendsnel doorgelopen. Binnen twee weken na het gesprek komen factuur, herinnering en aanmaning, en de bedrijven erachter zijn zo goed als niet bereikbaar. Radar noemt het Aquisitiefraude en roept op om aangifte te doen.

*1(één van de 6-7 programma's die we nog kijken, de andere zijn Spoorloos, Rail Away, Ik Vertrek, VRT-Journaal, RTL-Journaal en NOS-Journaal)
*2 (bedrijfopzoeker.nl bedrijfopzoeken.nl uwmkbgids.nl en uw-firma-online.nl)

Men probeert tegenwoordig op alle mogelijke manieren mensen te misleiden, bedriegen, op te lichten en te bestelen, en hoewel misleiding, bedrog, diefstal, fraude, oplichting en andere dergelijke criminaliteit van alle tijden is, zie je dat men hierin tegenwoordig steeds rücksichtloser te werk gaan, niets of niemand ontziend. Mensen zien dit ook steeds meer op alle niveau's in de samenleving, CEO's, CFO's, COO's, CIO's, CMO's, CTO's, e.d. harken steeds meer binnen voor minder verantwoordelijkheid, en zien we die steeds verder verweven raken met de politiek, iets dat in de USA gebeurd (partijfinanciering, lobbies onder senatoren e.d. maar ook de verwevenheid van de politiek net media), iets dat in de EU gebeurt (belangen van de Duitse en Franse auto-industrie wegen zwaar in de EU), iets dat Nederland gebeurt (ik ken vanaf kabinet Lubbers niet één kabinet waar er niet minstens een ex-staatssecretaris of minister in het bedrijfsleven is gegaan). Een grote verwevenheid van bedrijfsleven en politiek is ook wat de fascistische regimes kenmerkte, meer nog dan enkel het opdelen van de samenleving in übermenschen en untermenschen, of het neerzien op andere volkeren, twee dingen die ook in andere Westerse landen gebeurde, al ging men daar niet over tot massale vernietiging. Dat laatste werd ook pas mogelijk juist door de verwevenheid van politiek, bedrijfleven en media waardoor kritiek onmogelijk werd.

Ook in onze samenleving zien we dat kritiek op de overheid, buiten het parlement, steeds minder geaccepteerd wordt. Facebook, Youtube, Linked-in e.d. censoreren uit eigen beweging. De samenleving verjuridiseerd, de overheid zet steeds meer in op handhaving en controle, niet om de burger te beschermen tegen criminaliteit zoals oplichting, diefstal, beroving, zedenmisdrijven, zinloos geweld, maar om de orde te handhaven, de overheid te beschermen, steekwoorden zijn terrorisme, kindermisbruik en zware georganiseerde criminaliteit, waarbij men dus enkel nog vertrouwd op sleepnetmethodes.

cardboardgenie @Wisher • 14 september 2021 08:58

Ik had een beetje hetzelfde.
Kreeg ook zo'n SMS terwijl ik een pakketje verwachte. Echter moest ik de 'DHL app' downloaden maar dat kon enkel als ik volgens de instructies toestond dat ik in Android moest toestaan iets uit 'onbekende bron' te installeren. Dikke doei

Kenhas @Wisher • 14 september 2021 11:29

Er wordt ook helemaal niet gevraagd naar pincodes en creditcard nummers. De basis is eigenlijk dat je telefoon sms'en met dezelfde boodschap rondstuurt.

Het is dan pas als je een bank app of zo opent dat er een fake website wordt geladen. Je kan dus al een week of twee geleden de sms geopend hebt maar vandaag pas een bank app openen. En die bank app vertrouw je (min of meer), je bent die sms van paar weken geleden vergeten en daar geef je dan je gegevens in.

Vraag me eigenlijk af hoe je kan herkennen dat dit op je telefoon staat. Hoog dataverkeer waarschijnlijk niet want het zijn sms'en. Misschien batterij sneller leeg of telefoon traag reageren of zo

DeanXeL @Yoshi • 14 september 2021 11:37

Net tijdens het lezen van dit artikel NOG een spam SMS binnen gekregen. In de laatste week echt een tiental berichten gekregen, en het lijkt voor mij gewoon altijd so obviously fake...
Gelukkig meldt mijn sms-app altijd dat de berichten "verdacht" zijn en stelt ie meteen voor om ze als spam te melden en het nummer te blokkeren. Ik vraag me dus ook af hoeveel er wel niet doorgaan als ze er al 2 miljoen tegenhouden.

xbeam @DeanXeL • 16 september 2021 02:17

Ik krijg ze nooit. Dat jij ze zo veel krijgt zegt iets over je online hygiëne. Schijnbaar slinger jouw gegevens boven gemiddeld rond op het web waardoor je in dit lijsten te recht komt en regelmatig dit soort sms krijgt.

DeanXeL @xbeam • 16 september 2021 09:39

Je zou het denken, niet? Nochtans zet ik m'n gsmnummer amper ooit ergens te grabbel, alleen voor 2FA ben ik daar toe te overtuigen. Als je leest hoe dit virus juist werkt, zie je ook dat het gebruik maakt van adresboeken van gsms waarop het geinstalleerd geraakt, NIET je persoonlijke online hygiëne. Dat zou dus betekenen dat mijn contacten er slechte gewoontes op nahouden, niet ik.

Once given the permissions, both FluBot versions act as spyware, SMS spammer, and credit card and banking credential stealers all in one. Reaching out to the C2 server, the malware sends the victim’s contact list and retrieves an SMS phishing message and number to continue its spread using the victim’s device.

https://www.proofpoint.co...gh-europe-may-hit-us-soon

xbeam @DeanXeL • 16 september 2021 12:17

Hmm. I see
Maar dan blijft het tocht bijzonder hoe dit werkt.

Je zou dan verwachten dat hoe meer contacten hoe vaker je deze berichten zou moeten krijgen maar dat lijkt niet het geval. Nu weet ik dat mijn ervaring persoonlijke is dus niks zegt over de realiteit.

Kan je de C2 domeinen niet Blokker in je dns/pi-hole/black-home dns en de routers van je directe omgeving naar jouw pi-hole verwijzen. Dan heb je snel vrij snel door wie of dat het iemand in jouw omgeving is die geïnfecteerd is.

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

Tintel

Economie en maatschappij

14 september 2021 08:49

Weet iemand hoe het mogelijk is dat de app niet meer kan worden gede-installeerd?
Verwijderen lijkt me een functie van het OS. Dus is een deel van het OS dan ook vervangen?

dwizzy

@Tintel • 14 september 2021 09:15

Ik vermoed dat het zich installeert als mobile device management-app. Dan is het bij Android moeilijker te verwijderen. Bedoeld voor bedrijven om de apparaten van hun medewerkers mee te beheren, en bij iOS waarschijnlijk ook zoiets.

Ik vraag me af of een reclamecampagne met basale veiligheidstips beter werkt. Iets als: "dit is het scherm waarin je een app installeert die niet uit de Play store komt. Niet doen!" in plaats van "hang op, klik weg, bel uw bank"

DoubleYouPee @dwizzy • 14 september 2021 10:01

Dus iemand gaat via d.m.v. een .apk van een onbekende bron (wat standaard geeneens kan) een MDM-app installeren (met alle stappen die daarbij komen) om een pakketje van PostNL te traceren?
Dat kan ik me haast niet voorstellen.

dwizzy

@DoubleYouPee • 14 september 2021 10:21

voor veel mensen zijn computers frustrerend, dus willen ze een hoop "jahaaa" wegklikken als ze in een funnel aan het werken zijn naar een doel (willen ontdekken wat dat pakje is dat ze niet verwachten).
Dan zien ze het het onderscheid tussen alle waarschuwingen 'je gaat nu iets onveiligs doen' en andere obstakels niet, omdat computers in hun ogen altijd obstakels opwerpen.

En, niet vergeten: het hoeft maar bij 0,1% van 2000 doelwitten te lukken om 2 bankaccounts te kraken.

[Reactie gewijzigd door dwizzy op 22 juli 2024 21:45]

Peterbaksteen @dwizzy • 14 september 2021 11:14

2 bank accounts is toch echt 1%

xbeam @Peterbaksteen • 16 september 2021 02:24

[Reactie gewijzigd door xbeam op 22 juli 2024 21:45]

hcQd @Tintel • 14 september 2021 16:39

Het vraagt bij installatie om toegankelijkheidsrechten, waarmee het de volledige controle over kan nemen. Hier een analyse van een iets andere variant van FluBot.

Tomba 14 september 2021 08:29

Goed dat ze dit zo actief blokkeren en monitoren!
Ik krijg het idee dat hier in Nederland een stuk minder aandacht voor is, klopt dat? Zowel op KPN (prive) als T-Mobile (Zakelijk) geregeld SMSje die je proberen te verleiden te klikken op een link. Van 'mijn bank', 'WoningNet' of inderdaad 'DHL'...

PvdVen777 @Tomba • 14 september 2021 08:37

Idem hier, kreeg ineens diverse SMSjes met als nieuwe recente variatie "uw DigiD is verlopen".

jovinkus @Tomba • 14 september 2021 09:58

Afgelopen maand 2x een smsje gekregen, en die gingen meteen daarna automatisch de spambox in.

Tomba @jovinkus • 14 september 2021 10:06

Ja op je eigen telefoon. In dit topic gaat het over providers die het blokkeren voor het op je telefoon komt.

DeanXeL @Tomba • 14 september 2021 11:47

Ik heb DHL, Bpost of nog een leuke: "De Federale Overheidsdienst heeft beslist dat u een terugbetaling ontvangen van €89.74. Om uw bedrag te ontvangen kan u terecht op xxx" en dan een hele net uitziende URL voor de verandering! Het heeft https:// en een .eu extensie lijkt het! Ik kan gerust geloven dat in die laatste een heleboel mensen intrappen, als je niet verder denkt "Welke federale overheidsdienst? Zelfs de belastingsterugbetalingen worden altijd enkel per brief aangekondigd. Waarom zou ik mijn gegevens moeten bevestigen, als de overheid die al allemaal kent?".

Equazor_ @Tomba • 14 september 2021 12:46

Hier op het netwerk van vodafone de laatste dagen ook al regelmatig berichten van zogenaamd "WoningNet" dat mijn account verloopt.

Belsameth @Tomba • 14 september 2021 15:11

De wetgeving in NL is heel streng, waardoor filtering niet of nauwelijks mag.

cricque 14 september 2021 08:23

Toch zijn er zeker mensen die meerdere berichten hebben gehad (zelf 4 of 5), maar toch mooi dat ze er werk van gemaakt hebben. Lijkt mij moeilijk om dit echt te detecteren, maar toch mooi werk

Verwijderd 14 september 2021 08:28

Als gebruikers de app downloaden, wordt vanuit de naam van de gebruiker smsjes verstuurd naar contacten.

Dit is eigenlijk het eerste artikel waar ik enigszins uit kan halen waarom de malware FluBot heet, weer wat geleerd

Ik ben ook wel benieuwd of die 2000 tijdelijk geblokkeerde nummers dan nummers waren van de mensen die de malware wilden verspreiden, of van slachtoffers waarbij daarna werd geconstateerd dat ze de malware naar vrienden aan het sturen waren.

FreshMaker @Verwijderd • 14 september 2021 10:16

Dit zijn bestaande nummers, van onschuldige gebruikers.
Flubot trekt de telefoonlijst naar zich toe, en begint dan met nummerspoofing van die nummers te verzenden.
Met de huidige dekking van de messenger-diensten die op telefoonnummer werken, kan je zo al snel een dekkingsgraad van 75% of meer krijgen.
Al die nummers krijgen en verzenden op dat moment de sms'jes
Het 'mooie' hieraan ( in technisch opzicht ) is dat het bijna niet voorkomt dat jij een sms krijgt van een directe contact, of jezelf.
Dus die backend is wel heel geavanceerd opgezet

Lauwes 14 september 2021 08:38

Moet je hiervoor niet toestaan om de APK uit onbekende bron te installeren?
Lijkt me dat, ook al trap je in de echtheid van het bericht en download je het bestand, iedereen bij het installeren toch afhaakt...

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (128)

Sorteer op:

Weergave: