Marktplaats en Wehkamp serveren bankingtrojans door besmet advertentienetwerk

Verschillende grote, Nederlandse websites hebben maandag banking-trojans geserveerd. Het gaat onder meer om Marktplaats en Wehkamp, maar ook om de sites van een verzekeraar, Groupon en datingssite Lexa. De advertenties werden geserveerd door een advertentienetwerk.

De aanval werd maandagavond opgemerkt door onderzoeker Yonathan Klijnsma van beveiligingsbedrijf Fox-IT. Hij heeft vijftien sites weten te identificeren die malware serveerden via het advertentieplatform AppNexus, maar: "Het zijn er waarschijnlijk een hoop meer", zegt hij.

De aanvallers lijken websites te hebben uitgekozen waarop mensen geld uitgaven. Onder meer Marktplaats, Wehkamp, Lexa, Groupon en Neckermann waren geïnfecteerd, maar ook zorgverzekeraar VGZ en Saxion Hogescholen. Verder werd een aantal reissites getroffen, zoals Vakantieveilingen, Arke, en Boekvandaag.nl. Ook webwinkels ECI en BagageOnline werden getroffen.

De aanvallers probeerden via twee verschillende exploit-kits een banking-trojan te installeren. Die probeert zijn slachtoffers ertoe te verleiden om een Android-app te installeren, die vervolgens verificatiecodes van internetbankieren onderschept om zijn eigen transacties te kunnen uitvoeren. Exploitkits worden gebruikt om gaten in software, bijvoorbeeld Flash of Java, te misbruiken om eigen code te kunnen uitvoeren.

De malware was afkomstig van één malafide adverteerder bij AppNexus. Het is echter onduidelijk hoe de malware terechtkwam bij de getroffen websites; normaliter bevatten de meeste van die sites geen banners. Waarschijnlijk gebruikten de sites een tool van AppNexus om gebruikers die op een banner hebben geklikt te kunnen volgen bij het verdere gebruik van de website. VGZ bevestigt dat het advertentienetwerken gebruikt, maar weet niet of dat AppNexus is. "We gebruiken dat voor retargeting, om advertenties bij mensen te kunnen te plaatsen."

Inmiddels is het beveiligingsprobleem opgelost. "AppNexus reageerde binnen tien minuten op mijn twitterbericht", aldus Klijnsma. "Veertig minuten later vroegen ze om meer informatie en een kwartier daarna was alles weg." Bovendien is samengewerkt met het Nationaal Cyber Security Centrum: die overheidsorganisatie heeft het command and control center van de aanvallers, dat wordt gebruikt om geïnfecteerde computers te beheren, uit de lucht gehaald.

Het gebeurt vaker dat websites via advertenties onbewust malware verspreiden: dat overkwam in het verleden onder meer het NRC Handelsblad, De Telegraaf en NU.nl. Kwaadwillenden kopen dan een banner in die ze vervolgens gebruiken om malware te verspreiden, of ze hacken een advertentieserver. Vooral OpenX, opensource-software voor advertentieservers, is notoir onveilig.

Lexa kan niet aangeven of het AppNexus gebruikt. "Dat soort zaken wordt geregeld op ons hoofdkantoor in Parijs", zegt een woordvoerder van het bedrijf. Groupon was dinsdag niet bereikbaar voor commentaar.

Door Joost Schellevis

Redacteur

Feedback • 18-03-2014 15:08137

18-03-2014 • 15:08

137 Linkedin

Lees meer

OM waarschuwt voor toenemend gebruik rat-malware in Nederlandse bedrijven Nieuws van 9 juni 2016
Gerucht: webwarenhuizen Wehkamp en Fonq komen in Britse handen Nieuws van 3 juli 2015
Criminelen stelen wachtwoorden 157.000 klanten webwinkelketen Mapp Nieuws van 16 april 2015
Advertentienetwerk DoubleClick van Google serveerde malware Nieuws van 19 september 2014
Java.com verspreidde malware via Java-exploits Nieuws van 27 augustus 2014
Onderzoekers gebruiken Google Now voor bellen dure betaalnummers Nieuws van 21 juli 2014
'NU.nl verspreidde malware via geïnfecteerd advertentienetwerk' - update 2 Nieuws van 1 juli 2014
Failliet Neckermann maakt doorstart en zet bijna al zijn personeel op straat Nieuws van 25 juni 2014
Marktplaats verstrekt data van derden bij opvragen gegevens Nieuws van 30 mei 2014
De Telegraaf en The Guardian serveren malware via advertentienetwerk - update Nieuws van 26 mei 2014
'Beveiligingslek maakt manipuleren transacties internetbankieren mogelijk' Nieuws van 25 mei 2014
Google en Facebook beloven consumenten te waarschuwen tegen misleidende reclame Nieuws van 8 mei 2014
Beveiligingsbedrijf verkrijgt read-toegang op Google-server Nieuws van 11 april 2014
Nederlands beveiligingsbedrijf: Yahoo serveerde malware - update Nieuws van 3 januari 2014
Telegraaf.nl verspreidde malware via banners - update Nieuws van 1 augustus 2013
Nu.nl serveerde urenlang malware - update Nieuws van 6 juni 2013
'Speedtest.net verspreidde malware' Nieuws van 7 februari 2013
Website NRC verspreidt malware - update 2 Nieuws van 13 november 2012
Website Nujij belandt op zwarte lijst Google door malware Nieuws van 5 juli 2012
'Malware Omroep Zeeland was bankentrojan' - update Nieuws van 30 maart 2012
Browsers blokkeren Omroepzeeland.nl door malwaredreiging Nieuws van 29 maart 2012
Spotify schakelt advertenties derden uit na malware-infectie Nieuws van 26 maart 2011
Trojaans paard vervangt Google Adsense-advertenties Nieuws van 23 december 2007
Meer producten en artikelen
Websites en communities Netwerk en systeembeheer

Reacties (136)

-Moderatie-faq
136
126
79
6
0
9
Wijzig sortering
Stoney3K
18 maart 2014 15:13
En dit soort berichten doen mij steeds meer denken om, al is het maar om veiligheidsredenen, Adblock Plus te gaan installeren.

Prima dat websites aan hun reclame geld willen verdienen, maar je zet de deur open voor beveiligingsproblemen waar je zelf geen controle meer over hebt.
curumir
@Stoney3K18 maart 2014 15:44
Correct me if I'm wrong, maar de kwetsbaarheid van een banner is net zo gevaarlijk als de kwetsbaarheid van het klikken op een onbekende link. Tenzij je alleen maar surft naar websites die je al kent of 100% vertrouwd ben je nu niet meer of minder veilig.

Adblocker, hoe prettig in gebruik ook, is uiteindelijk best asociaal en bestaat vooral bij de gratie van de niet-blockende meerderheid. Zonder adds zouden sites als deze het op z'n minst heel moeilijk krijgen danwel kunnen opdoeken.
Axewi
@curumir18 maart 2014 15:52
Je zit er wel een klein beetje naast.
Een onbekende link moet je daatwerkelijk op klikken, de advertentie hoeft alleen maar geladen te worden. (dit gebeurt automatisch)

Ik snap ook wel dat een groot deel van de websites hun geld verdient aan advertenties, maar zoals de afgelopen jaren is gebleken is het huidige advertentie systeem niet veilig.
Daarnaas heb ik niets tegen een normale advertentie maar zijn de advertenties met geluid of advertenties die je halve scherm in beslag nemen gewoon niet leuk meer.
Ik heb daarom het vinkje in abp gewoon aanstaan. (dit zorgt ervoor dat goedgekeurde advertenties wel geladen worden)

Ik hoop daarom ook dat websites gaan werken aan een andere manier van adverteren.
1) zelf de advertenties hosten en goedkeuren.
2) Normale advertenties gebruiken waardoor de gebruiker niet direct geïrriteerd is.
Spacespider
@Axewi18 maart 2014 16:13
1) zelf de advertenties hosten en goedkeuren.
Ik denk dat dit niet meer een optie is. Het is voor (kleinere) websites lastig om adverteerders te vinden. Om veel tijd te besparen wordt daarom vaak gebruik gemaakt van dit soort diensten waar de hoogste bieder zijn banner op de betreffende website mag tonen. Dit bespaart de website een hoop tijd omdat er niet meer zelf gezocht hoeft te worden naar adverteerders.

En zelfs al zou je handmatig alle banners en doorverwijzingen controleren dan nog heb je kans dat er malware sites tussen zitten (of dat er nadat jij de site gecontroleerd hebt malware op deze site geplaatst wordt).
2) Normale advertenties gebruiken waardoor de gebruiker niet direct geïrriteerd is.
Helemaal met je eens, maar ik denk dat veel bedrijven denken hoe gekker de advertentie, hoe meer de advertentie opvalt.
Zyppora
@Spacespider18 maart 2014 17:14
hoe gekker de advertentie, hoe meer de advertentie opvalt.
En hoe irritanter de gebruiker hem vindt. Maar grote bedrijven zijn blind voor de wensen van hun publiek. Je ziet dit ook in bijv. de entertainment industrie dmv DRM: als je het de klant maar zo irritant en moeilijk mogelijk maakt, blijftie klant. Toch? En alsie geen klant meer wil zijn, dan zal hij vast wel onze inkomsten derven.

Dit natuurlijk volledig voorbijgaand aan het feit dat klanten mensen zijn die je moet paaien ipv treiteren. Als iemand dmv een keuze (downloaden ipv kopen, adblock ipv malware) zijn leven een stuk makkelijker kan maken, dan is het toch een schaap alsie dat niet doet?

Edit: of een crimineel, als je sommige instanties wil geloven.

[Reactie gewijzigd door Zyppora op 18 maart 2014 17:15]

curumir
@Axewi19 maart 2014 09:20
Natuurlijk moet je ergens op klikken en is het een stap extra. Dat is ook niet mijn punt. Waar het mij om gaat is dat je sowieso er vanuit moet gaan dat je kwetsbaar bent. Voor obscure sites, gehackte sites, gehackte banner en whatever. Banners is toevallig het enige uit dit lijstje waar je zelf voordeel van hebt om dit te mijden.
sygys
@curumir18 maart 2014 16:28
dus curumir jij kijkt met alle plezier naar al die advertenties die overal in het scherm opduiken, het halve scherm in beslag nemen of zich voordoen als een onderdeel van de site? Nou ik niet. de inkomsten die tweakers krijgt met advertenties kan me gestolen worden. Ik ga niet op iedere website naar advertenties zitten gapen waarvan ik eerder op google iets heb opgezocht.

Zelfde geldt voor reclames op tv en op de radio. als ik reclame op de radio hoor gaat bij mij gelijk de mp3 aan of de radio gewoon uit.

Ik ben hoogst anti reclame! het is onefficient, niet doeltreffend, vervelend, irriterend en tegenwoordig meer dan nutteloos. Je komt tegenwoordig zoveel reclame tegen dat mensen het niet eens meer zien.

Daar komt nu dus nog bij dat het gewoon nog erg onveilig is ook

[Reactie gewijzigd door sygys op 18 maart 2014 16:30]

SuBBaSS
@sygys18 maart 2014 17:26
Nou ben ik niet zo "anti" als jij en ben er ook wat minder uitgesproken over.
Ben het in de basis wel eens over de inkomsten van de site.
Als het daadwerkelijk zo belangrijk voor Tweakers/ overige sites is, dan is het misschien een idee om er alles aan te doen om het betrouwbaar te houden, niet?
Het is niet dat dit voor het eerst gebeurd, sterker, op zo'n grote schaal hebben we dit nog niet meegemaakt. Ben dan ook erg benieuwd of dit gevolgen gaat hebben oa. hier op de site.
We kunnen er met z'n allen nl. redelijk vanuit gaan dat deze ontwikkelingen zeker niet af zullen nemen. En als de discussie stukloopt op inkomsten site vs.veiligheid van de gebruiker dan weten we meteen waar we aan toe zijn: al die mooie woorden over de sterke community hier en hoe belangrijk die voor de site is worden te grabbel gegooid tbv. de adverteerders (cq."het geld").
Andere optie is dat er beter/centraal toezicht op dit soort advertentiebedrijven in te stellen. Het aantal besmette systemen is met zo'n actie niet misselijk en de inkomsten van de misbruikers hoogstwaarschijnlijk ook niet. Ergo: er wordt schade geleden vanwege iets wat mi. best "nalatigheid" genoemd mag worden. Dan kun je als getroffen site wel met je vingertje naar de adboer gaan wijzen, maar als je vervolgens gewoon met ze in zee blijft gaan zal er ook weinig veranderen dunkt me.....
curumir
@sygys19 maart 2014 09:17
Jouw conclusie slaat natuurlijk nergens op. Ik zeg niet dat ik reclame 'leuk' vind. Sterker nog, ik denk dat het een slecht model is voor een goede nieuwsgaring omdat populisme stimuleert in plaats van diepgang. Zo is het beter een controversieel item te plaatsen met eventueel nog een correctie later, dan een goed doorzocht, minder extreem artikel.
Ook leidt het tot de gedachte dat alles maar gratis moet kunnen zijn; terwijl het uiteindeljk niet eens gratis is. Reclame werkt, ook al vind je van niet, dus uiteindelijk betalen allemaal mee aan bijvoorbeeld Google.
Dus nee, ik ben er niet blij mee.

Daar staat (helaas) tegenover dat er voor sites als deze geen goede alternatieven zijn, dus ik accepteer dat want ik bezoek deze site vaak. En daar hoort/mag best een vergoeding tegenover te staan. Het is geen hobbyclubje hier.
Daarom vind ik het hypocriet als je gebruik maakt van add-blockers.
Anoniem: 390875
@curumir18 maart 2014 15:52
Als voor hun de keuze is:
A. ads waarover wij nul komma nul contrôle hebben - en als er dan iets fout gaat een lullig excuus berichtje die na een uur alweer van het scherm weg is omdat het PR team snel positief nieuws erboven pleurt - maar ondertussen wel geld voor vangen
of
B. niet bestaan :'(

Dan bestaan ze potverdorie maar niet.
Anoniem: 415197
@curumir18 maart 2014 16:02
Correct me if I'm wrong, maar de kwetsbaarheid van een banner is net zo gevaarlijk als de kwetsbaarheid van het klikken op een onbekende link.
Een jpeg kan ook exploits bevatten (alhoewel de decoder dan grove fouten moet bevatten).
Anoniem: 390875
@Anoniem: 41519718 maart 2014 16:48
Zoals deze?
Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987)
- http://technet.microsoft....ecurity/bulletin/ms04-028

Geen zorg, is oud, al lang opgelost - maar toch.. het bestond. Echter blijft een ad die javascript / flash loopt te draaien toch een stuk kwalijker dan een JPEG; die overigens wat mij betreft door de mangel gehaald mag worden door advertentienetwerken door alle metadata eruit te strippen - heeft toch geen plaats in een advertentieplaatje, en dan houd je alleen nog maar de eigenlijke JPEG data-decoder over als mogelijke attack vector. ( In geval van die GDI+ vuln zat 't 'm in een verkeerde berekening van de lengte van de comment header. )
Seth_Chaos
@Stoney3K18 maart 2014 15:22
Dan rest nog de vraag hoe veilig is Adblock Plus?
Axewi
@Seth_Chaos18 maart 2014 15:24
Adblock Plus zorgt ervoor dat de advertentie niet geladen word, dus tegen deze aanvallen is het de oplossing.
Daarnaast word er gebruik gemaakt van exploids dus als je je browser/java/flash/windows up to date hebt is de kans klein dat je de malware geserveerd kreeg :)
Seth_Chaos
@Axewi18 maart 2014 15:26
Naar mijn weten blockt het niet alle advertenties. Zoals die zijbanners op tweakers en de reclames die in de site verwerkt zitten. En hoe betrouwbaar is het bedrijf dat er achter zit?
Axewi
@Seth_Chaos18 maart 2014 15:30
Het bedrijf achter abp durf ik niets over te zeggen.
Maar abp blockt weldegelijk alle advertenties.
Die "zijbanners" ken ik niet? bedoel je soms de gerelateerde artikelen die naast het nieuws artikel verschijnen? Zo ja: Dat komt van tweakers zelf af en dus niet van een reclame hosting. Hierdoor is het dus ook gecontroleerd en zullen die banners niet zomaar een virus/malware voorschotelen.
Stoney3K
@Axewi18 maart 2014 15:32
Het bedrijf achter abp durf ik niets over te zeggen.
Maar abp blockt weldegelijk alle advertenties.
Die "zijbanners" ken ik niet? bedoel je soms de gerelateerde artikelen die naast het nieuws artikel verschijnen? Zo ja: Dat komt van tweakers zelf af en dus niet van een reclame hosting. Hierdoor is het dus ook gecontroleerd en zullen die banners niet zomaar een virus/malware voorschotelen.
En dat is dus wat je precies wil bereiken: De advertenties en advertorials die Tweakers via zijn eigen servers serveert, en dus kan controleren dat ze veilig zijn, wil je erin houden, maar de (mogelijk) onveilige banners van externe advertentienetwerken ben je kwijt.
3x3
@Stoney3K18 maart 2014 15:49
Er zijn partijen die adblock plus, maaar ook bijv. Gohstery hebben betaald, om alsnog data te minen, of ads te laten zien.
einstein
@3x318 maart 2014 16:06
Er zijn partijen die adblock plus, maaar ook bijv. Gohstery hebben betaald, om alsnog data te minen, of ads te laten zien.
Bron?
3x3
@einstein18 maart 2014 16:16
Google paying AdBlock Plus to not block Google's ads
Google on whitelist adblock plus
Google Saved An Estimated $887 Million By Paying Adblock Plus To Show Its Ads

Ook op de site van adblock-plus, stond een statement dat betalende en te vertrouwen partijen, uitgezonderd werden.

Voor Gohstery:
http://lifehacker.com/ad-...sells-data-to-a-514417864
http://www.technologyrevi...the-ad-industry/#comments

Ik heb naast Ghostery, ook Disconnect draaien.
En je ziet inderdaad, dat de tracking-cookies die disconnect blokt, een veelvoud is van die van Ghostery.

[Reactie gewijzigd door 3x3 op 18 maart 2014 16:18]

Stoney3K
@3x318 maart 2014 16:38
Ook op de site van adblock-plus, stond een statement dat betalende en te vertrouwen partijen, uitgezonderd werden.
Daar vindt dus ook een duidelijke veiligheidsscreening op plaats. Dan heb ik er absoluut geen moeite mee.
kimborntobewild
@3x318 maart 2014 17:53
Nu is het wachten tot disconnect bekend is bij het 'grote' publiek, en dan zullen ook zij steekpenningen accepteren in ruil voor een plaatsing op hun whitelist :).
vali
@3x318 maart 2014 18:01
Dat is de reden waarom ik gratis adblockers niet meer vertrouw. Ze moeten ergens hun inkomsten vandaan halen en de links hierboven bewijzen dat. Zelf ben ik erg tevreden en te spreken over adblockie

Tevens bevat het niet de irritante bugs en vastlopers met flash, alleen daarom gebruik ik adblock-plus niet meer.

[Reactie gewijzigd door vali op 18 maart 2014 18:02]

sygys
@einstein18 maart 2014 16:23
dat was laatst een artikel hier op tweakers volgensmij...
Creesch
@3x318 maart 2014 16:07
Iets waar de maker van adblock plus heel open over is en ook duidelijk de optie voor geeft om ze uit te zetten. Het gaat hier specifiek om "non intrusive" advertenties.
kimborntobewild
@Creesch18 maart 2014 17:54
Iets waar de maker van adblock plus heel open over is en ook duidelijk de optie voor geeft om ze uit te zetten. Het gaat hier specifiek om "non intrusive" advertenties.
Alle advertenties zijn intrusive.
Creesch
@kimborntobewild18 maart 2014 22:38
Dat is jou mening, de wereld is voor de meeste mensen echter niet zo zwart of wit. Ik kan mij heel goed voorstellen dat mensen geen enkel probleem hebben met tekst advertenties die niet om aandacht schreeuwen en het daarom geen probleem vinden deze toe te laten.
kimborntobewild
@Axewi18 maart 2014 17:51
Maar abp blockt weldegelijk alle advertenties.
Onjuist.
Het is niet eens vantevoren bekend welk bedrijf advetenties gaat laten zien op een bepaalde website.
Laat staan het feit dat AdBlock wordt betaald om bepaalde content (per default, dan) toch door te laten.
Jazco2nd
@Seth_Chaos18 maart 2014 16:13
adblock plus verdient miljoenen via Google om bepaalde ads default door te laten. Je kan kiezen voor Adblock Edge (een fork).
Ik gebruik het alleen omdat al die mega flash takeovers op sites zoals nu.nl, telegraaf en ook tweakers mijn surfervaring vertragen.

Ik zou de voorkeur geven alle ads die juist NIET relevant zijn voor mij te laten blokkeren en alle ads die WEL relevant zijn op basis van mijn surfgedrag WEL toe te laten. Dus als ik op Skyscanner een ticket heb gezocht, doe mij maar een mooie aanbieding KLM! Of als ik zoek naar een nieuwe smartphone etc. Maar al die ads waar ik niks aan heb + al die ads die mega groot zijn en waar ik geen affiniteit mee heb, die wil ik graag blokkeren.
Anoniem: 415197
@Jazco2nd18 maart 2014 16:56
adblock plus verdient miljoenen via Google om bepaalde ads default door te laten.
Bij dit type uitspraak hoort natuurlijk wel een bron...
kimborntobewild
@Jazco2nd18 maart 2014 17:56
Ik gebruik het alleen omdat al die mega flash takeovers op sites zoals nu.nl, telegraaf en ook tweakers mijn surfervaring vertragen.
:X
Door dat te zeggen, kunnen ze je op tweakers bannen (totdat je inkeer 'aantoont' (dat kan natuurlijk niet; maar dat terzijde...)). Het is nl. op tweakers niet toegestaan te zeggen hoe je tweakers ads kunt blokkeren, of zeggen dat je dat doet :).
Is mij ook eens overkomen.

[Reactie gewijzigd door kimborntobewild op 18 maart 2014 17:57]

Anoniem: 415197
@kimborntobewild18 maart 2014 19:31
Ik vind dat wel vreemd op een website waar privacy hoog in het vaandel staat, en waar continu artikelen over privacy verschijnen. Dan verwacht je dat een adblocker (die ook gebruikt kan worden om je privacy te beschermen) geen probleem mag zijn.
Axewi
@Stoney3K18 maart 2014 15:16
Dit is iets wat ik dus ook in de anquete aangegeven heb van tweakers, adblock gebruik ik niet alleen om reclame weg te halen maar voornamelijk omdat je steeds vaker dit soort berichten leest.
Het is ook gewoon te makkelijk! In plaats van je richten op 1 website richt je je aanval op de advertentie partij en je hebt ineens meerdere websites te pakken.
Anoniem: 415197
@Axewi18 maart 2014 15:53
Vanuit privacy overwegingen is het ook beter om een blocker te gebruiken.
DonLexos
@Anoniem: 41519718 maart 2014 16:19
Chrome Users kunnen ook Disconnect gebruiken:

Disconnect, named one of the 100 best innovations of 2013 by Popular Science and one of the 20 best Chrome extensions by Lifehacker, lets you visualize and block the otherwise invisible websites that track your search and browsing history.
https://chrome.google.com...pbcihiomhlakheieifhpjdfeo
Bux666
18 maart 2014 15:29
Wat ik niet snap is dat deze websites advertenties serveren. Alle bedrijven hebben een verdienmodel dat niet afhankelijk is van advertenties:
  • Groupon - roomt omzet van hun klanten af;
  • Lexa - vraagt een maandtarief;
  • CenterParcs - webshop;
  • Neckermann - webshop;
  • VGZ - verkoop producten;
  • Saxion Hogescholen - (niet-commerciele(?)) onderwijsinstelling;
  • Vakantieveilingen - roomt omzet van hun klanten af;
  • Arke - webshop;
  • Boekvandaag.nl - roomt omzet van hun klanten af;
  • ECI - webshop;
  • BagageOnline - webshop;
Extra inkomsten door advertenties dus, ongeacht of je klanten er 'last' van hebben. |:(

Edit: bedrijfnamen toegevoegd.

[Reactie gewijzigd door Bux666 op 18 maart 2014 15:44]

Spacespider
@Bux66618 maart 2014 15:51
Deze websites plaatsen zelf vaak reclame op andere websites. Door te registreren dat jij op hun website geweest bent (en jij dus waarschijnlijk interesse in hun producten hebt) kunnen ze vervolgens op andere websites die wel reclame banners hebben hun banners laten zien. Hiervoor plaatsen ze echter wel een stukje code van de advertentieboer in hun website.

Dit zie je ook vaak als je zoekt naar een vakantie naar een specifiek land. Je krijgt dan vervolgens een paar dagen lang op alle websites waar je komt reclame te zien voor een reis naar dat specifieke vakantieland.
Stoney3K
@Spacespider18 maart 2014 15:56
Dit zie je ook vaak als je zoekt naar een vakantie naar een specifiek land. Je krijgt dan vervolgens een paar dagen lang op alle websites waar je komt reclame te zien voor een reis naar dat specifieke vakantieland.
Dat advertentiemodel vind ik trouwens nog altijd heel dom: Als ik net bij ECI een boek gekocht heb, dan krijg ik de rest van de week advertenties te zien van datzelfde boek. Wat ik dus net gekocht heb. Wat denk je, jongens, hij is zo leuk dat ik er maar nog eentje ga kopen? Bij de concurrent? 8)7

Je gaat ook niet bij de uitgang van de V&D staan om iedereen met volle tassen een flyer van de Bijenkorf in de handen te duwen?
Z___Z
@Stoney3K18 maart 2014 17:28
Het kan zijn dat je op die site gekeken hebt voor een bepaald boek, maar nog niet gekocht hebt. Dan kan je eventueel advertenties krijgen van waar je dat boek ook kan kopen, tegen misschien wel gunstigere voorwaarden.
Bux666
@Spacespider18 maart 2014 15:54
Helemaal duidelijk. Zoals drdelta al zei (en wat ik ook had gelezen, want zo'n kunst is lezen niet...) ja. Toch apart, je zou zeggen dat zoiets anders moet kunnen, zeker gezien dit risico.
Karloe
@Bux66618 maart 2014 16:38
Als ik security.nl lees, werden er specifieke Banking-Trojans ingezet.

Dit lijkt me vooral een aanval op ING gebruikers, TAN onderscheppen en misbruiken.
Volgens mij moet dit met de extra authenticatie met een controlegetal via een "reader" nog niet lukken.
Dat is, bij mijn weten, bijna altijd 3 checks: Inlog + (pinpas +Code = Result,) + verificatie op bedrag, en de laatste is controleerbaar op de tweede verificatie, in combinatie met de gebruikte pin pas.

Daar gaat een banking trojan moeilijk tussen zitten.
(en als je denkt van wel, doe eens een (geheugen of op papier) test, waar het fout zal gaan voor de trojan.)

[Reactie gewijzigd door Karloe op 18 maart 2014 16:50]

Anoniem: 390875
@Karloe18 maart 2014 16:57
Of het wel fout kan gaan hangt van de exacte werkwijze van je bank af.

Jij zegt bijvoorbeeld dat er een verificatie is op bedrag. Is er ook een verificatie op ontvanger? Zo niet, wat weerhoudt een trojan er dan van om de ontvanger om te schakelen op een transactie die jij wel gewoon uit wil voeren?

Overigens is de ING hierin wel vatbaarder, maar moeten mensen nog steeds wel zo gek zijn om zomaar een app te gaan installeren. Zullen er genoeg zijn die dat klakkeloos doen, natuurlijk ;)
drdelta
@Bux66618 maart 2014 15:50
Waarschijnlijk gebruikten de sites een tool van AppNexus om gebruikers die op een banner hebben geklikt te kunnen volgen bij het verdere gebruik van de website. VGZ bevestigt dat het advertentienetwerken gebruikt, maar weet niet of dat AppNexus is. "We gebruiken dat we voor retargeting, om advertenties bij mensen te kunnen te plaatsen."
Lezen is een kunst.

[Reactie gewijzigd door drdelta op 18 maart 2014 15:50]

Guerrilla
18 maart 2014 15:21
Gewoon ad blockers installeren, of Ghostery gebruiken of via firewall of host file blocken.
http://pgl.yoyo.org/as/

Als je de boel niet goed onder controle hebt, dan moet het maar zo.
Het is inmiddels te vaak gebeurd en de impact bij een succesvolle infectie is heel groot.

Mocht je als bedrijf willen checken of je bent getroffen door deze malware, dan kan je even zoeken in je proxies/logs naar :
ticktacktoe(.)net
shulkbulk(.)com
138.246.114.75
86.126.48.152

Goeie PDF van Bitdefender.
The Murky Waters of the Internet: Anatomy of Malvertising and Other e-Threats
http://www.bitdefender.co...g_and_Other_e_Threats.pdf

[Reactie gewijzigd door Guerrilla op 18 maart 2014 15:26]

CMD-Snake
18 maart 2014 15:46
Dit is wel een groeiend probleem. Tegenwoordig zijn het niet meer de pornosites of warez die zorgen voor virusinfecties op PC's. Het zijn de legitieme sites die een enorm bereik hebben. Stuk voor stuk lees ik in het artikel grote namen die veel hits krijgen, de droom van elke malware verspreider.

De zwakke schakel is nu dus de ad-server geworden, die of niet goed beveiligd is of waar men onvoldoende screening doet op wat er daadwerkelijk aangeboden wordt. Bovendien raakt dit niet een grote site, maar meerdere tegelijk.

Zowel de bedrijven als degene die de reclames aanbieden zullen veel meer moeten gaan doen aan controle op de content die geserveerd wordt. Daarnaast is het uiteraard ook belangrijk dat iedereen zijn software up to date houdt en een AV pakket draait.


Edit:

Voor de geïnteresseerden, het Twitter account van de desbetreffende veiligheidsonderzoeker:
https://twitter.com/ydklijnsma

Zo te zien heeft dit alles gespeeld tussen 12.00 en 14.00 op maandag 17 maart. Na 14.00 is er al aardig wat onklaar gemaakt, pas tegen 22.40 die avond is alles helemaal weg. Lees zelf de Tweets maar na. Handig voor als je wilt weten of je mogelijk getroffen kan zijn.

[Reactie gewijzigd door CMD-Snake op 18 maart 2014 16:01]

gekkie
18 maart 2014 15:39
VGZ .. waarom heeft die club zooi van een advertentienetwerk op z'n site staan.
satoer
@gekkie18 maart 2014 19:47
Retargeting. Dus niet om zelf reclame's van andere op hun site te plaatsen, maar om jou op zoveel mogelijk andere sites te spammen met VGZ banners. Echt waanzinnig irritant en ik voel mij hierdoor persoonlijk heel erg bespied. Ook Wehkamp heeft hier een handje van. Zit je een beetje op hun site te browsen... wordt je daarna weken lang gespammed met banners met producten en vergelijkbare producten op andere sites. Het zal dus wel werken, maar persoonlijk heeft dat bij mij echt een averechts effect. Ik irriteer mij hier zo aan dat ik dus gewoon ook helemaal niet meer kom op die Wehkamp website. Je kan je er voor afmelden overigens, maar elke keer als je je cookies verwijderd dan zijn ze het weer vergeten. Daarvoor moeten ze een wet maken; dat de "do not track" instelling gerespecteerd wordt.

Het is jammer dat ik Internet explorer de fijnste browser vindt, maar het gaat niet lang duren tot ik overstap naar Firefox met blokker.
gekkie
@satoer18 maart 2014 20:36
Hmm ik ben al over op firefox + blocker (en niet de blokker .. die zijn in hun fysieke winkel weer irritant met veel te goed plakkende prijs stickers ... )

Eigenlijk sinds het mode werd om pagina vullende flash advertenties cq advertenties met een hoop klere herrie als je er per ongeluk mouseoverde .. en je je geluid nog op standje hoog had staan van dat lekkere mp3tje.

Gewoon niet knipperende plaatjes prima .. de rest van de kermis .. zoek het maar uit.
Helaas is daar geen makkelijk automagisch onderscheid in te maken.
killerbie
18 maart 2014 15:11
Groupon kan ik nog begrijpen, maar dat er financiële websites gebruik maken van advertenties vind ik niet kunnen. Ze weten goed genoeg dat zaken als deze voorkomen, en ook hun kunnen treffen. Bovendien is het niet hun core-business om uit advertenties geld te verdienen. Ook hebben ze voldoende financiële middelen om hun websites te financieren.

Hopelijk komen er beschermende maatregelen en wetgevingen vanuit de EU om dit soort zaken naar de toekomst toe te voorkomen, vooral op websites van financiële instellingen.
TheKmork
@killerbie18 maart 2014 15:15
Ik weet niet helemaal waar je vandaan haalt dat er financiële websites gebruik maken van deze advertenties. Ik zie in het artikel verschillende websites genoemd worden, maar behalve 1 (zorg)verzekeraar worden er geen financiële sites genoemd.

De malware werd via deze websites verspreid en probeerde de gebruiker een Android app te laten installeren. Deze Android app verzamelde dus de verificatiecodes van het betalingsverkeer. Het is dus niet alsof er advertenties van banksites bij betrokken waren oid.

edit: aanvulling

[Reactie gewijzigd door TheKmork op 18 maart 2014 15:16]

albino71
@TheKmork18 maart 2014 15:22
Een dyslectisch persoon zou "Alex" kunnen lezen i.p.v. "Lexa" :)

OT: Dit soort zaken gaat er steeds meer voor zorgen dat mensen add blockers gaan installeren en dus komen de inkomsten van websites in gevaar. Dat zorgt wel weer voor veranderingen.

[Reactie gewijzigd door albino71 op 18 maart 2014 15:24]

sygys
@albino7118 maart 2014 16:17
desalniettemin log ik op mijn zorg verzekering in met mijn digid. die wil ik ook niet graag in handen geven van een of andere idioot hacker. maar eigenlijk moeten ze flink die banners blijven misbruiken... als dit maar lang genoeg zo door gaat dan komt er misschien toch nog ooit vanzelf een einde aan al die nutteloze banners.

Hier op tweakers zag ik trouwens ook een vage advertentie van snel 500 euro verdienen... van die malafide praktijken... snap niet dat tweakers ook al zulke advertenties aanbied tussen haar nieuws berichten.
albino71
@sygys18 maart 2014 16:44
Daar zit de kern wellicht.

Tweakers heeft een deal met een of andere add boer, niet met de adverterende partijen zelf. Hierdoor heb je geen of weinig controle. Tenminste dat lijkt zo iig.
FreshMaker
@sygys18 maart 2014 18:37
desalniettemin log ik op mijn zorg verzekering in met mijn digid.
Dus omdat je handmatig een string aan gegevens inklopt, ben je veilig ?
De malware installeert al een sniffer / scanner om bankgegevens te loggen, wie verzekert mij dat de digiID inlog veilig is ?
RadioKies
@albino7118 maart 2014 15:55
Dat niet alleen, maar adverteerders gaan nog irritantere methodes bedenken om toch te adverteren.

I present you: the evolution of Evony online bannering
http://www.lazygamer.net/...s-the-insanity-continues/
killerbie
@TheKmork18 maart 2014 15:36
"...maar ook om de sites van een verzekeraar, CenterParcs en Neckermann"

Een verzekeraar is toch een financiële instelling? Bovendien zijn verzekeraars vaak onderdeel van een bank. Vandaar dat ik financiële website had vernoemd :)
TheKmork
@killerbie18 maart 2014 15:45
De verzekeraar wordt in het artikel gewoon genoemd bij naam:
Onder meer Marktplaats, Wehkamp, Lexa, Groupon en Neckermann waren geïnfecteerd, maar ook zorgverzekeraar VGZ en Saxion Hogescholen.
VGZ is overigens verder niet gelieerd aan een bank. Banken leveren inderdaad verzekeringen, maar lang niet alle verzekeringsmaatschappijen (de meeste zelfs) zijn niet aan banken gekoppeld.
Zoals ik het uit het artikel begrijp gaat het sowieso niet om advertenties die op de genoemde websites zelf geplaatst zijn, maar juist met name om malware die acteert als mensen via een advertentie van bijvoorbeeld Lexa of VGZ van AppNexus naar die website gaan.

De websites van bijvoorbeeld VGZ zelf bevatten weliswaar niet echt reclame (geen externe, wel eigen maar dat gaat gewoon intern), maar als AppNexus wel actief blijft om te tracken kan er via die weg ook malware verspreid worden. Het is dus niet dat VGZ geld verdient aan de advertenties op hun website, maar het werd juist veroorzaakt door mensen die via VGZ advertenties naar de VGZ website kwamen (is tenminste het vermoeden wat ik krijg bij het lezen van het artikel)
FreshMaker
@TheKmork18 maart 2014 18:38
Dat hoop ik dan maar, want toevallig heb ik de afgelopen dagen intensief van 'mijnvgz' gebruikt.
Dan knijp je hem toch wel even.

* thnkgod for Ghostery & adblock plus !
DRaakje
18 maart 2014 15:15
Grappig, vandaag die Survey ingevuld, en daar dit als reden ingevuld waarom ik een adblocker gebruik.

Hoor je toch vaak dat Advertentienetwerken gehackt worden en malware verspreiden.
Anoniem: 126717
@DRaakje18 maart 2014 15:18
Grappig, vandaag die Survey ingevuld, en daar dit als reden ingevuld waarom ik een adblocker gebruik.
Ik ook. Reclamenetwerken worden veel te vaak misbruikt. Als ik me goed herinner is dit de zesde keer dat ik in een half jaar tegen zo'n bericht aanloop op sites, dus 1 keer per maand. En dan kies ik voor de veiligheid.
Pikoe
18 maart 2014 15:29
Groupon is zelf toch een en al reclame? Sinds wanneer hebben ze ook nog 3rd party reclame op hun website staan?
DonLexos
@Pikoe18 maart 2014 16:26
Retargeting: jij komt nu voorbij op de site van Groupon en klikt gezellig door naar de rest van het internet, en zowaar, groupon banners op andere (niet groupon gelieerde) sites... Groupon serveert de initiele cookie (al dan niet voorzien van gegevens over pageviews, time on site, whatever) en probeert je op andere plekken (alsnog) lid te maken, aankoop te laten doen, etc
thefal
18 maart 2014 17:37
Misschien offtopic, maar op dev-host krijg ik nog sind een week ofzo een popup met de melding "gratis android apps downloaden" zodra ik op een downloadlink klik. Die link leid naar een mobogenie apk. Soms wordt de app zelfs direct gedownload zodat je denkt dat dat het bestand is waar je voor kwam (ik kwam voor een apk van een developer op XDA...) Zou dat hetzelfde zijn?
FreshMaker
@thefal18 maart 2014 23:47
Op devhost staat die mobogenie idd als reclame in beeld
De grootste downloadknop is de verkeerde, net daarboven zit de juiste link, een kleinere ekstbutton met download

Erg irritant om de bezoeker zo te misleiden, zeker als je via een mobiel aan het downloaden bent ...
thefal
@FreshMaker19 maart 2014 00:13
Ik klik altijd op de juiste en krijg toch een popup! Ik zal het eens aankaarten, want volgens mij klopt dit niet...
Aionicus
18 maart 2014 15:18
Het bijzondere aan dit verhaal is dus dat er normalite geen banners zichtbaar zijn op de websites. Desondanks hebben deze hackers een erg "goed" doordachte aanval gepleegd. Vraag me dan toch af hoe ze erachter zijn gekomen dat er een stukje appnexus draait op bv lexa.nl . het zal toch een request ijn , een banner , een url of iets anders... ik ben benieuwd of we er wat meer over zullen horen.
1 2 3

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee