Cybercrime

Bij een grootschalige phishingcampagne bedoeld om inloggegevens te stelen maken criminelen gebruik van open redirects en captcha's om slachtoffers te misleiden, zo meldt Microsoft. De aanval begint met een phishingmail die zich onder andere voordoet als Zoom-uitnodiging, melding van Microsoft 365 of een bericht dat het wachtwoord is verlopen.

Gebruikers wordt vervolgens gevraagd om een link in het bericht te openen. Hierbij maken de aanvallers gebruik van een open redirect, waarbij er wordt gewezen naar een legitieme dienst. De gebruikte link bevat echter een parameter die naar de phishingsite wijst. Zodra een gebruiker de link opent zorgt de open redirect bij de legitieme dienst ervoor dat de gebruiker naar de phishingsite wordt gestuurd...

...Voor het versturen van de phishingmails maken de aanvallers gebruik van gratis e-maildiensten, gecompromitteerde legitieme domeinen en zelf geregistreerde domeinnamen. Tijdens de campagne werden meer dan 350 unieke domeinen waargenomen. "Dit laat niet alleen de omvang van deze aanval zien, maar ook hoeveel de aanvallers erin investeren, wat een potentieel aanzienlijk rendement suggereert", aldus Microsoft.

Alles bij de bron; Security


 

Criminelen zijn erin geslaagd om door middel van e-mailfraude 2,3 miljoen dollar van het Amerikaanse stadje Peterborough te stelen, zo heeft het stadsbestuur bekendgemaakt. Eind juli werd duidelijk dat het regionale schooldistrict de maandelijkse 1,2 miljoen dollar niet had ontvangen. Uit het onderzoek dat volgde bleek dat de stad was opgelicht.

Oplichters hadden e-mails verstuurd en vervalste documenten gebruikt die van het schooldistrict afkomstig leken. Daardoor werd de 1,2 miljoen dollar naar de verkeerde rekening overgemaakt. Terwijl het onderzoek nog gaande was werd duidelijk dat twee andere transacties, ter waarde van 1,1 miljoen dollar op dezelfde manier naar een rekening van de oplichters waren overgemaakt.

Vanwege de diefstal worden alle procedures en beleid rond elektronische transacties herzien.

Alles bij de bron; Security


 

De afgelopen dagen zijn er meerdere phishingmails verstuurd die van MijnOverheid afkomstig lijken en bankgegevens van slachtoffers proberen te ontfutselen. De berichten hebben onder ander als onderwerp "Let op een document in uw berichtenbox!" en stellen dat er een document voor de ontvanger klaarstaat.

De aanvallers hebben daarbij de tekst vermeld dat het vanwege technisch onderhoud niet mogelijk is om het bericht via de Berichtenbox te lezen, en het daarom in de browser moet worden bekeken. Woensdag 25 augustus vindt er inderdaad onderhoud aan MijnOverheid en de Berichtenbox-app plaats. De links in de e-mail wijzen naar een phishingsite die zich voordoet als een DigiD-pagina van de Belastingdienst. Daarbij wordt ook gesteld dat de rekening moet worden gevalideerd waarop de gebruiker zijn teruggave van de bank wil ontvangen.

Vervolgens kan er een bank worden gekozen, waarbij er een specifieke phishingpagina voor de betreffende bank wordt geladen. De afgelopen dagen maakten meerdere mensen op Twitter melding van de phishingmails. De webcare van MijnOverheid vraagt om phishingmails door te sturen naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken..

Via de BerichtenBox van MijnOverheid kunnen burgers post van de overheid ontvangen. Het gaat dan bijvoorbeeld om berichten van gemeenten, waterschappen en landelijke organisaties. Inmiddels hebben zo'n 8,9 miljoen mensen een MijnOverheid-account.

Bron; Security


 

Cybercriminelen hebben drie weken lang geprobeerd in te breken in de computersystemen van de Gelre ziekenhuizen in Apeldoorn en Zutphen. Dat is niet gelukt.

Wel kregen de aanvallers toegang tot een mailbox van een medewerker. Ze hebben geen informatie gedownload of gestuurd, maar misschien hebben ze wel mails met persoonlijke gegevens gezien.

De aanvalspoging werd vanuit "verschillende landen" uitgevoerd. De ziekenhuisgroep weet niet wie de aanvallers zijn en waar ze naar op zoek waren.

Alles bij de bron; AGConnect


 

Op ondergronds forum wordt 'volledig klantenbestand van T-Mobile USA' te koop aangeboden. Deze data zouden uitgebreide gegevens van 100 miljoen mensen omvatten, waaronder IMEI-nummers, rijbewijsinformatie en fysieke adressen. Een deel van deze gegevens is geverifieerd en lijkt inderdaad afkomstig van de telecomaanbieder.

De geclaimde dataset van 100 miljoen klanten van T-Mobile USA is flink wat waard op het cybercriminele forum. Voor een subset, van 30 miljoen met daarin rijbewijzen en Amerikaanse sofinummers (social security numbers) wordt een betaling van zes Bitcoins gevraagd. Dat komt met de huidige waardering van die virtuele valuta neer op zo'n 240.000 euro.

T-Mobile zou volgens de verkoper al wel op de hoogte zijn. De geclaimde toegang, door middel van backdoors op servers, is volgens de verkoper namelijk afgekapt. T-Mobile verklaart op de hoogte te zijn van claims die worden gemaakt op een ondergronds forum, en dat het actief onderzoek doet naar de validiteit daarvan. 

Alles bij de bron; AGConnect


 

Een phishingcampagne waarbij criminelen het bestand xls.html gebruiken voor het stelen van inloggegevens is al meer dan een jaar gaande, zo stelt Microsoft dat de aanvallen analyseerde. De phishingmails die de criminelen versturen doen zich voor als factuur en hebben een bestand met de naam xls.html als bijlage.

Wanneer de ontvanger het bijlage bestand opent wordt er een browservenster getoond met een vals inlogscherm voor Microsoft Office 365, met daaronder een onherkenbaar Excel-document. Het inlogvenster kan informatie over het doelwit bevatten, waaronder e-mailadres en in sommige gevallen bedrijfslogo.

De aanvallers stelen meer informatie, naast gebruikersnamen en wachtwoorden, zoals ip-adressen en locatiegegevens. Volgens Microsoft kunnen deze gegevens bij latere aanvallen worden gebruikt.

Alles bij de bron; Security


 

FlyTrap is de naam van malware die te vinden is in een aantal Android-apps. Deze malware maakt Facebook-inloggegevens buit en heeft inmiddels meer dan tienduizend slachtoffers gemaakt in meer dan 140 landen.

Zodra een app met deze malware is geïnstalleerd gebruikt de crimineel social engineering om persoonlijke informatie van nietsvermoedende slachtoffers te achterhalen. Zo is er een app gemaakt die zogenaamd kortingscodes voor Netflix en Google AdWords weggaf. Nog een voorbeeld is een voetbalapp waar je kan kiezen voor de beste voetbalspeler of voetbalteam. De apps vragen de slachtoffers vervolgens om in te loggen met hun Facebook-account en stelden ze vervolgens teleur met neppe kortingscodes.

De malafide apps nemen Facebook-accounts over en stelen niet alleen je inloggegevens maar ook je:

  • Facebook ID
  • Locatie
  • E-mailadres
  • IP-adres
  • Cookies en tokens die bij je Facebook-account horen

Alle gestolen gegevens worden doorgestuurd naar een Command & Control-server van het brein achter deze apps. De malware wordt tevens via privéberichten op Facebook verder verspreid. De reeds gehackte Facebook-accounts worden gebruikt voor het verspreiden van desinformatie en nepnieuws.

Heb je een van deze apps op je telefoon staan? Dan moet je deze meteen verwijderen en je Facebook-wachtwoord aanpassen.

  • GG Voucher: com.luxcarad.cardid 
  • Vote European Football: com.gardenguides.plantingfree  
  • GG Coupon Ads: com.free_coupon.gg_free_coupon
  • GG Voucher Ads: com.m_application.app_moi_6
  • GG Voucher: com.free.voucher
  • Chatfuel: com.ynsuper.chatfuel 
  • Net Coupon: com.free_coupon.net_coupon
  • Net Coupon: com.movie.net_coupon 
  • EURO 2021 Official: com.euro2021 

zLabs vreest dat FlyTrap met een paar kleine aanpassingen kan uitgroeien tot een nog gevaarlijkere trojan die nog meer slachtoffers zal maken.

Alles bij de bron; AndroidWorld


 

....Punycode is een manier om met een beperkte karakterset internationale domeinnamen weer te geven. Zo wordt "münich" weergegeven als "mnich-kva". Een internationale domeinnaam gebruikt de punycode-encoding en voegt er "xn--" voor. Zo wordt "münich.com" weergegeven als "xn--mnich-kva.com".

Onlangs registreerden criminelen de domeinnaam "xn--brav-yva.com", die door browsers als brave.com wordt weergegeven, maar dan met een accent boven de e. Vervolgens werd er een kopie van de echte Brave-website aan deze domeinnaam gekoppeld.

In plaats van een browser leidde de downloadknop echter naar malware. Het ip-adres achter de website bleek voor meer malafide punycode-domeinen te worden gebruikt die zich voordeden als de websites van Ledger.com, Signal.com en Telegram.com. Na te zijn ingelicht haalde registrar NameCheap de domeinen offline en verwijderde Google de malafide advertentie.

Alles bij de bron; Security


 

De AIVD moet 'praktischer en krachtiger' op cyberaanvallen kunnen reageren waarvoor de wet moet worden aangepast, zo stelt Erik Akerboom, directeur van de inlichtingendienst, tegenover EenVandaag.

De Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) geeft de AIVD de bevoegdheid om systemen te verstoren. Toch loopt de inlichtingendienst volgens de AIVD-directeur tegen wettelijke beperkingen aan waardoor het zelf niet bij machte is om actie tegen systemen van aanvallers te nemen.  "De wet geeft wel mogelijkheden om te kunnen handelen. Die benutten we ook", zegt Akerboom. "We zien nu alleen dat de dreiging toeneemt. En er is een behoefte om meer te kunnen." Akerboom wil dat de AIVD en MIVD de krachten bundelen om de beste technologie en mensen te krijgen. 

Als het aan Akerboom ligt moet de AIVD toegang tot systemen kunnen krijgen zonder dat alles van tevoren precies bekend is. "Er is een behoefte om meer te kunnen, al is het alleen maar om de tegenstanders, de offensieve dreiging te stoppen."

Alles bij de bron; Security


De storing waardoor websites van de GGD gisteren niet bereikbaar waren, is veroorzaakt door meerdere aanvallen op een leverancier van de GGD. Het gaat om de maker van de koppeling waarmee met DigiD kan worden ingelogd op de GGD-websites. Inmiddels zijn de websites weer bereikbaar...

...Het is niet de eerste keer dat de GGD's tijdens de coronapandemie te maken hebben met beveiligingsproblemen. Eerder werd onder meer privacygevoelige data gestolen doordat systemen onvoldoende beveiligd waren. Medewerkers die onvoldoende waren gescreend konden via een pdf-functie allerlei gegevens exporteren en stelen. 

Voor zover bekend zijn er bij de ddos-aanvallen geen gegevens buitgemaakt.

Alles bij de bron; Computable


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha