Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties
Bron: Netcraft

MySpace phishingGebruikers van de communitysite MySpace werden onlangs bedreigd door Phishers. Netcraft meldt namelijk dat een kwaadwillend persoon in staat bleek om het loginformulier van MySpace aan te passen waardoor de logingegevens niet naar de servers van MySpace werden verstuurd, maar naar een server die waarschijnlijk beheerd werd door de aanvaller. Hoewel de aangepaste loginpagina niet de standaard loginpagina verving, was het wel een duidelijk gevaar voor gebruikers. De phisher had een MySpace profiel aangemaakt onder de naam 'login_home_index_html', waarbij de HTML op de pagina zodanig was aangepast dat het leek alsof men op de standaard loginpagina terecht was gekomen. Deze illusie werd bevestigd door de url die op het eerste gezicht authentiek leek. Er is dus geen gebruik gemaakt van een XSS-bug, zoals vaak het geval is bij dergelijke aanvallen. Het probleem lijkt inmiddels verholpen.

Moderatie-faq Wijzig weergave

Reacties (21)

Ik vraag me af wat het gewin is bij zo'n actie. Er wordt immers weinig vertrouwensgevoelige informatie opgeslagen op een myspace profiel.
Veel users hebben overal dezelfde passwords, dus kun je op veel plekken terecht. Met een beetje mazzel/pech ook op bijvoorbeeld PayPal-accounts...
gewoon Roboform gebruiken voor je passwords
Dan onthoud ik het liever. Stel je voor dat er net iemand achter je computer zit terwijl je even weg bent dan heb je nog steeds het probleem dat iemand kan inloggen op je accounts...
@bigoldie: Druk op WIN+L.
Of automatisch locken bij het weglopen m.b.v. een RF sleutelhangers.
daarom heb ik gelukkig voor echt belangrijke zaken 3 andere passwords dan voor "fun" zoals hyves, hotmail, myspace, steam en bf2. dat soort dingen moet je gescheiden houden vind ik....paswoord zonder enige voorkennis is moeilijk te kraken, zolang je die niet uit jezelf opgeeft is de kraakbaarheid veel groter en ben je een moeilijkere prooi die ze snel links laten liggen.
Misschien gebruikt de fisher dit als vingeroefening voor het betere werk.
Opzich wel goed bedacht van die persoon, ik zou er ook zo intuimen ook al kijk ik normaal dus wél altijd naar de URL. MySpace zal maar over moeten stappen op HTTP authentication om zulke dingen te voorkomen. Alhoewel, dat kan ook gefaket worden want dan gaan mensen gewoon een iframe op hun profiel zetten dat een eigen pagina van een server laad en waardoor je een loginpagina van hún krijgt te zien. Lastig...
HTTP authenticatie is zooooo 1990. Iframes zouden geblocked moeten worden op myspace, als dat al niet zo is. Ze moeten dit gewoon via layout oplossen. Gewoon het dagelijkse nieuws of wat andere gezeur aan de zijkant op alle pagina's behalve de login, of andersom. Dan valt het in ieder geval een stuk beter op. Ik denk dat dit eigenlijk een bug is in de myspace code, die zou forms zowieso moeten blokkeren.
Je kan HTTP authenticatie ook faken door gewoon in een <img> tag te verwijzen naar een plaatje dat op je eigen server staat. Met forms hetzelfde verhaal, mensen kunnen dat ook faken door een plaatje neer te zetten dat een link is. Dan denk je dat het allemaal goed is, klik je op het plaatje van de inputbox, wordt je stiekem naar een andere pagina gestuurd en vul je alsnog al je gegeven in.
<alleen kijkend naar de naam>
In navolging van YouTube, werd MySpace dus tijdelijk YourSpace ;)
</alleen kijkend naar de naam>

<serious mode>
Toch kan men er aardig gewin uit te halen.
Je hebt dan een password van myspace, dus ook van hotmail en MSN... kortom, ze kunnen weer behoorlijk wat email adressen doorverkopen of zelf gebruiken om de bekende spam te versturen. En inderdaad eventueel andere sites, maar dat zal lastiger worden.(accounts/userID moet ook hetzelfde zijn).
</serious mode>
het wachtwoord bij MySpace hoeft niet je wachtwoord van je MSN of Hotmail te zijn !!!
Snap ik het nou niet, of is dit een storm in een glas water ?

Blijkbaar werkt MySpace zo, dat je eigen stukje space bereikbaar is onder de URL http://www.myspace.com/jouw_naam
Nu was er een slimme knakker die als username 'login_home_index_html' heeft gekozen, dit achter het mysapce domain naam kan als een normale login URL klinken.
Vervolgens heeft hij op zijn space een login pagina nagemaakt, welke de login gegevens naar een eigen server sturen.

Wat heeft dit met phishing te maken :? De enige relatie met Phising is, dat er een login pagina nagemaakt is.
Sowieso moest de gebruiker nog voor zorgen dat andere gebruikers op zijn space uit zouden koen
Het phishing is dat hij met die login-pagina probeert login+wachtwoorden te vissen van onoplettende gebruikers.

Waarschijnlijk komt er een massmail met het verzoek het wachtwoord op die url in te vullen bijvoorbeeld!
Wat denk je van het niveau van de mensen op myspace,
waarschijnlijk zullen die overal hetzelfde wachtwoord hebben.

En waarschijnlijk staat er toch aardig wat gegevens ingevult bij persoonlijke opties die niet geshowed worden als je het profiel bezoekt.

Edit:
tegelijk dus met Alex)
<MySpace User>
Log meestal toch al nie meer in via dat venster maar via de login bij me eigen profiel. En je kan rechten uitdelen wie welke gegevens mag zien.

Maar zo is er ook al een JUNK geweest die profielen aanmaakten om zijn soft porn publiciteit te geven. Je kreeg als man en/of vrouw gewoon een uitnodiging van alleen vrouwen en als je daar op klikte zat er een automatische doorlink in.
</MySpace User>

<** EXTRA **>
Hoe dan ook iedereen kan zeuren over MySpace en YouTube wat er aan gekoppeld is. Maar ik heb liever MySpace met af en toe een fout hier en daar, dan dat je je niet kan afmelden bij een community site die alles kopiërd van anderen !!!
</** EXTRA **>
Misschien heb ik wel een handige tip. Stel dat je standaard wachtwoord "a$hb%th456" is.

Je komt op een website, en die heet Tweakers.net, als je dan een wachtwoord moet kiezen pak je gewoon je standaard wachtwoord en hangt de naam, of een deel van de naam van de website eraan.
Voorbeeld: "a$hb%th456tweakers"

En voor MySpace: "a$hb%th456myspace"
Ebay: "a$hb%th456ebay"
PayPal: "a$hb%th456paypal"

Kun je natuurlijk op verschillende manieren toepassen:
"a$hbmyspace%th456"
"a$hbebay%th456"
"a$hbpaypal%th456"

Op die manier is het onmogelijk je wachtwoord te vergeten als je weer een keer op een website komt die je al 3 jaar niet hebt bezocht.
Ja, maar als iemand zo'n wachtwoord tegekomt zal hij zelf ook wel kunnen bedenken dat hij myspace even moet vervangen door paypal. Dit geeft volgens mij een vals gevoel van veiligheid.
Beetje offtopic, maar hoe spreken jullie dat woord uit?
Wat ik bijvoorbeeld allemaal al heb gehoord:
faajsing
fissing
fishing
Het lijkt me als fishing.
Je spreekt philips ook niet uit als fillips of faailips.
Het is "vissen" naar wachtwoorden. Je spreekt het dus gewoon uit als fishing.

[edit] Iets te laat, maar toch nog wat extra context toegevoegd :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True