Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Bron: Techworld

Vervalste weblogs op Blogger.com worden in toenemende mate door hackers gebruikt om bezoekers te besmetten met malware. Op de normaal ogende blogs zijn diverse kwaadaardige scripts verstopt.

Het beveiligingsbedrijf Fortinet waarschuwt dat via de frauduleuze weblogs in sommige gevallen ongemerkt de Stration-massmailer wordt ge´nstalleerd. Dit stukje malware stuurt de bezoeker door naar diverse frauduleuze sites, waaronder de phishingwebsite Pharmacy Express. Deze nepapotheek probeert allerhande gegevens van het besmette systeem los te peuteren. Een blog die zou gaan over de Honda CR450 - een populaire zoekterm - besmet nietsvermoedende motorliefhebbers met het Wonka-trojan. Op Blogger zouden volgens Fortinet honderden besmette weblogs staan met uiteenlopende onderwerpen als Star Wars, school, meubels, kerstmis en vriendinnen. Google, eigenaar van Blogger, zegt de zaak te onderzoeken en elke verdachte blog direct te wissen. In november werd een andere website van Google, YouTube, ook misbruikt door hackers. Met namaak-pornovideo's werden nieuwsgierigen doorgestuurd naar phishingsites.

Malware Pharmacy Express
Moderatie-faq Wijzig weergave

Reacties (47)

@ Justshootit:

En hoe zit het dan met mijn weblog waarin ik mijn ervaringen beschrijf met viagra en cyalis?
Haha, ga dat maar aan je vrouw vertellen ;) Het zullen er weinig zijn en volgens mij heeft niemand daar behoefte aan. En als ze het persÚ willen weten, ga dan maar naar de apotheek
Wat een domme opmerking. Ik heb zelf mijn ervaringen opgeschreven over medicatie (geen viagra dit geval, maar oxazepam: http://johnbokma.com/mind/stoppenmetoxazepam.html ) en er zijn heel veel mensen enorm dankbaar voor dat simpele verhaaltje.

Nog krommer dan filteren is het niet toestaan van dingen omdat spammers ze gebruiken.

De enige oplossing is het bij de bron aanpakken. Al die andere "slimme" technische oplossingen staan alleen een groei van het probleem toe.

Onkruid in je groententuin stop je door het bij de wortel uit te trekken, en niet door je groententuin te asfalteren.
Tjah en toch komt dit ook door de mentaliteit van de gebruikers zelf. Vaak krijgen internet gebruikers een pagina voor geschoteld met "Uw computer is niet goed beveilgd" oid, en goedgelovige downloaden dan die 'virusscanner', welke dus eigenlijk een virus/trojan/etc bevat.

Verder klikken vaak mensen (vooral mensen die met Windows gewend zijn te werken) gewoon door. Daarmee bedoel ik, dat ze vaak iets te snel geneigd zijn om op 'Ja' of 'Ok' te drukken. Dit geeft bepaalde malware dan ook weer toegang tot dat systeem.

Dit is misschien een beetje offtopic, maar ze hebben het wel eens over het 'internetrijbewijs' gehad. Ik zou eigenlijk blij zijn, mocht zoiets er komen! Dit omdat ik vooral merk bij familieleden of andere leken die niet veel van computers weten, dat zij vaak nogal goedgelovig zijn en het internet iets te goed vertrouwen.
100 % gelijk over dat rijbewijs. Dat denk ik ook al jaren maar dit is de eerste keer dat ik iemand anders zie die mijn mening deelt.
Voor en auto moet je een rijbewijs hebben omdat het niet verantwoord is om zonder scholing rond te rijden en te gevaarlijk voor anderen. Wel imo is dit bij computers net hetzelfde. Een beetje leren werken met een computer is al genoeg. Maar nee, elke man in de straat kan zich een computer aanschaffen en vervolgens lekker spam beginnen rondsturen en weet ik veel wat nog allemaal |:(
Zo'n rijbewijs moet zo laagdrempelig zijn dat het merendeel van de huidige gebruikers kan slagen. Dus in het begin zou het een leuke melkkoe zijn, en weinig tot niks doen aan het echte probleem.

Zou jij even 200-300 euro over hebben voor zo'n rijbewijs. Of vind je dat de "elite" er niet aan hoeft?

En wat dan? Elke vijf jaar verlengen na het slagen van een aangepaste test?

Klinkt mij als: iedereen moet een vergunning hebben voor een wapen en er criminelen mee af kunnen schieten om zo de criminaliteit terug te dringen.
"Met namaak-pornovideo's werden nieuwsgierigen doorgestuurd naar phishingsites."
En hoe ziet een "namaak pornovideo" er dan uit?
Iets met allemaal realdolls ipv echte acteurs?
Ik kan er even een paar verzinnen:

Een rar met daarin een "videobestand" en een codec die je eerst moet installeren.

Een videobestand dat niet afspeelt met een bestandje dat je verteld dat je eerst iets op moet halen op een andere site.

En dan denken jullie natuurlijk: wie stinkt daar nu in?

Ik ken iemand waarvan de site gehackt was, met een phishing pagina. Het log liet 52 (uit mijn hoofd) pogingen zien om in te loggen.

Het is vreselijk naief om te denken dat die mensen allemaal dom zijn omdat wij "Tweakers" het snappen.
De spamfilter op mijn blog toont mij op dit moment de volgende boodschap:
Akismet has protected your site from 7,891 spam comments.
Dit sinds augustus 2006 (wanneer ik de filter ge´nstalleerd heb). Ondanks dit mag ik zelf ook nog bijna dagelijks manueel spam verwijderen. Wanneer je de inhoud van deze spam bekijkt merk je dat ze bijna altijd volstaat met malifide links.
Een spijtige zaak, maar voor de blogger is wel een belangrijke verantwoordelijkheid om zijn/haar blog minstens een paar keer per week te checken op inhoud.
Alleen gaat het niet over Blogger in de vorm van "de persoon die de blogs plaatst" maar als in "Blogger.com". Je zou dat hebben geweten als je verder had gelezen dan de headline.

Desalniettemin wat tips: met captcha's en andere form-handigheidjes kan je al veel ellende voorkomen. Wat mij goed is bevallen:
• hernoem het standaard comment-post script
• kleine javascript controle
• de action= van de form dynamisch laten invullen door javascript => een domme bot kan niet eens op de naam van het comment-post script komen
• plaatsen van loze velden die niet mogen veranderen/niet ingevuld mogen worden. display:none en de bot die 'm invult hangt
Dat komt omdat Akismet een non-oplossing is. Filteren werkt niet, omdat men gewoon vrolijk door de filters heen probeerd te komen.

Elke spam aanmelden heeft al wat meer effect, nogal wat ISPs wissen een site en sluiten een zombie af.

Blogger is een beerput geworden juist omdat de meeste mensen ongezien de spam wissen.

CAPTCHA, en al die andere dingen maken het je bezoekers lastig en worden in no time door bots gevonden.

Ik heb mijn eigen comment software geschreven, en toch krijg ik per dag 20-30 spams.
(edit: een deel zou ik uit kunnen filteren, maar ik meld het liever aan, wat soms effect heeft)

Bots kunnen de pagina scannen, en dus hebben loze velden geen zin, tenzij je met JavaScript gaat spelen.

En dan krijgen we snel bots die dat (JavaScript) gewoon uitvoeren, wat een eitje is met SpiderMonkey.

"Een spijtige zaak, maar voor de blogger is wel een belangrijke verantwoordelijkheid om zijn/haar blog minstens een paar keer per week te checken op inhoud"
Als iedereen dat zou doen zou het inderdaad minder gebeuren, het spammen. Het werkt nu te goed.

Ikzelf modereer elke comment voor plaatsing.
Ikzelf modereer elke comment voor plaatsing.
En dat is dan ook meteen de enige echte oplossing. Wie een blog wil bijhouden moet daar ook de verantwoordelijkheid voor dragen. En comments op een blog horen daar nou eenmaal bij.

(Tuurlijk zou het veel leuker zijn als dat allemaal niet zou hoeven, maar we leven nou eenmaal niet in een utopia)
Yup, helemaal eens. Een nadeel is dat door de vertraging (ik doe het meestal in batches, 1x per 2-3 weken (!)) dat mensen interesse verliezen. En de vaart raakt er soms uit, ik bedoel stel dat hier op Tweakers je 2 weken zou moeten wachten voor je reaktie opduikt :o

Ik wil in de toekomst eens gaan kijken naar registratie/OpenID.
Gebruik nu een aantal maanden een captcha oplossing en dat werkt echt perfect!

Vroeger wel eens 100-en spam berichten per week gehad en nu 0.

Tot dat de spammers weer wat nieuws verzinnen, dan verzin ik ook weer wat nieuws!
Ik heb het tegenwoordig zo staan dat ik een sessie zet op mijn eerste pageina. Als deze sessie niet bestaat is het plaatsen van een comment op een andere pagina niet mogelijk.

Nooit meer last van Spam bots gehad.
Het beveiligingsbedrijf Fortinet waarschuwt dat via de frauduleuze weblogs in sommige gevallen ongemerkt de Stration-massmailer wordt ge´nstalleerd.
Als ik het goed begrijp worden ongepatchte Windows-machines besmet met malware?
Als ik het goed begrijp worden ongepatchte Windows-machines besmet met malware?
ik hoop het, maar ik vrees ervoor.

bij microsoft is het de gewoonte, om eerst het probleem te laten voordoen, alvorens het op te lossen.
is altijd zo geweest en zal zo blijven vrees ik.

wedermalig een les: surft niet met windows naar site's die niet te vertrouwen zijn (meer dan helft van het internet dus)
Dat is bij elk bedrijf zo. Dat er op blogger ca. 50.000 blogs (schatting van mij) niks anders staan te doen dan redirecten is omdat men gewoon op zijn kont heeft gezeten.
Windows is geen browser maar gezien de tendens van je antwoord vrees ik dat verdere discussie aan jou niet besteed is.
Natuurlijk kun je de verantwoordelijkheid hiervan volledige bij de aanbieder van de dienst leggen, maar als dit mogelijk gemaakt wordt door security-lekken in browsers als Firefox of InternetExplorer dan moet je uiteraard eerst die bron aanpakken.

Het moet voor een willekeurige website niet mogelijk zijn om jouw computer zonder je instemming van malware te voorzien.

Als hierboven in een reactie al aangegeven is: "Geldt dit ook voor Firefox?" Waarbij ik het idee heb dat Fx er inderdaad minder vatbaar voor is - hoewel IE6SP2[XP] volgens mij ook al heel wat beter is dan eerdere versies van IE.

Uiteindelijk moet de gebruiker zijn systeem op order hebben, ik mag met een rammelbak toch ook niet de autoweg op?
De bron is de spammer. Je kan niet alle lekken dichten in browsers.

De eerste bron die aangepakt (en dus niet gefilterd) moet worden is spammers, en dat kan alleen via het klagen bij de ISP en hosting providers wat helaas een enorme klus is (ik doe het dagelijks). Als Akismet die taak op zich zou nemen zou er wellicht iets veranderen. Ik heb ze er een keer over gemailed en kreeg te horen dat ze dat niet doen (het melden, a la SpamCop.net). Op mijn vraag waarom niet kreeg ik geen antwoord.

Het zou mij niets verbazen als Akismet dit jaar met een betaalde filter dienst komt (volgens mij verzoeken ze je al te betalen bij grootgebruik). Misschien zoek ik spijkers op laag water, maar Akismet zou er leuk bij varen.

Als meer mensen direct de ISP zouden aanspreken gebeurd er wat. Er zijn tal van ISPs die geen idee hebben van waar ik precies over klaag, want ze missen de email headers...

En hosting providers vangen liever nog een maandje extra voor dat ze de steker er uit trekken. Door meer druk zou dat kunnen veranderen.

Ook zou het aktief zoeken naar "open" gastboeken, blogs, enz. en de provider vriendelijk verzoeken om de gebruiker te vragen om het of af te sluiten (vaak is men een site begonnen, en doet er niks meer mee) of op te schonen.

Zelfs een beginnende (Perl) programmeur kan in een dag een script maken dat na een keer draaien 20,000-40,000 (opnieuw aanname van mij) sites opleverd waar je kan spammen. Het is vervolgens een kwestie van een stukje code schrijven dat elk form af kan handelen, een lijstje met open proxies zoeken, en draaien maar.
Het beveiligingsbedrijf Fortinet waarschuwt dat via de frauduleuze weblogs in sommige gevallen ongemerkt de Stration-massmailer wordt ge´nstalleerd.
Zoals ik dit lees wordt er op de client-pc een stukje malware ge´nstalleerd. Natuurlijk is de uiteindelijke bron een spammer die dit soort blogs aanmaakt, maar zodra het eindpunt (de client-pc) onbereikbaar wordt is het maken van dit soort blogs ook niet interessant meer. Als de gebruiker op een alternatief (niet-Windows) systeem werkt of op een goed beveiligd Windows systeem dan is de client-pc dus ook niet bereikbaar...

Overigens ben ik het wel met je eens dat aanbieders van blog-services, gastenboeken e.d. nog steeds hun verantwoordelijkheid moeten nemen en er alles aan moeten doen om te voorkomen dat dit soort sites ontstaan.
Helaas is het zo dat hoe verder je van de bron gaat, hoe lastiger het in te dammen is. De computer van de eindgebruiker is een utopie helaas, en wat nog lastiger is dat als je die mensen redirect naar een pagina met daarop "Download het nieuwste virus" er nog steeds mensen zijn die daar op klikken.
Dit is geen nieuws, dit is al veel te lang aan de gang. En het kostte mij nogal wat tijd om Google dit aan het verstand te brengen (een maand of 4) zelfs met lijsten van duizenden blogs die vrolijk redirecten.

De meest voorkomende truuk is een stukje JavaScript inbedden (wat een eitje is, want dat mag gewoon van Google in je template) dat een redirect doet. Vervolgens worden al die blogs vrolijk rondgespammed en hebben in een paar dagen 20.000+ (jawel) inkomende links.

De JavaScript wordt automatisch aangemaakt en in de template gezet, en is meestal niet met een simpele reguliere expressie te herkennen. Allerlei codering truuks worden toegepast om vooral te voorkomen dat de grap herkend kan worden door software zonder JavaScript uit te voeren. Dingen als strings ophakken in stukjes, en in willekeurig genaamde variabelen stoppen, dat weer aan elkaar plakken, dan decoderen, en dat middels een eval uitvoeren bijvoorbeeld.

De JavaScript zelf kan gewoon tussen script tags staan, als een onerror handler, of als een onsubmit handler. En het komt regelmatig voor dat zo'n JavaScript een script van een andere site inleest en vervolgens uitvoerd.

Als content voor niet-JavaScript uitvoerende browsers wordt gewoon content ergens vandaan geplukt. Het is dus niet altijd even een botje maken dat kijkt of er viagra in de pagina staat. Daarnaast zou dat een hele berg false positives geven.

Zie ook: http://johnbokma.com/mexit/2006/07/13/
Wat helpt tegen het injecteren van Javascript is user-input door een HTML/XML-parser halen. Je krijgt dan een "schone" DOM-tree terug. Hieruit kun je makkelijk alle onSubmit- en andere handlers vissen. Blokken Javascript-code zijn helemaal makkelijk te filteren.
Diverse blogs gebruiken eigen JavaScript om functionaliteit toe te voegen, en staan daarnaast tellers e.d. toe die JavaScript gebruiken.

Mijn idee is (en wat ik ook naar google gemeld heb) om extra elementen te definieren die door de template engine naar de werkelijke code wordt omgezet, iets a la:

<counter provider="nedstat" usercode="131313"/>
Wonka-trojan?

Probeerd die je adresgegevens te loggen zodat ze je een uitnodiging voor een bezoekje aan een chocolade fabriek kunnen sturen?
Nee, dat is de trojan van Mr. Depp himself :+
Ik heb wel vertrouwen in Google als het over zulk soort dingen gaat. Al tweemaal hebben zij een PageCreator Account geblokkeerd. Beide keren downloaden een kennis van mij een patch/crack van mijn site en precies keek er iemand mee

30 seconden later was mijn account geblokeerd :P
"Ik heb wel vertrouwen in Google als het over zulk soort dingen gaat"

Ik heb het weer langzaam terug. Het was heel erg weg de afgelopen maanden :D

En dat is wat nu zo jammer is, email spam snapt men inmiddels maar "blogspam" en "guestbookspam" lijkt een nieuwtje, terwijl dat al zo lang als er CGI mogelijk is gebeurd.

Oh, en dan vergeet ik nog de PHPbb forums die dagelijks aangevallen worden met zelfregistrerende botjes.

Omdat het merendeel (is mijn idee) het meent met CAPTCHAs en filters op te kunnen vangen, en nogal wat ISPs/hostingproviders nogal lastig te bereiken zijn, en nog lastiger (ja, nog lastiger) te overtuigen dat de zooi bij hun vandaan komt vrees ik dat het de komende jaren zeker nog gaat vertienvoudigen.
Zelfde een beetje met Youtube. Straks eisen alle bloggers dat hun wereldje schoongemaakt wordt. Dit wordt weer een soort bot maken die een algoritme heeft met woorden als viagra, etc... :9

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True