De AIVD constateert dat er steeds meer aanvallen plaatsvinden op Internet Service Providers (ISP’s), Managed Service Providers (MSP’s) en telecomaanbieders. Vaak worden hier zogeheten supply chain-aaanvallen of man-in-the-middle attacks voor ingezet, zo liet het hoofd van de inlichtingen- en veiligheidsdienst Dick Schoof weten in zijn keynote tijdens de One Conference 2019 in Den Haag.

Met hun positie, vaak als belangrijke leverancier of transporteur van belangrijke en strategische digitale diensten, zijn deze specifieke bedrijven en organisaties zeer interessant voor mogelijk kwaadwillende partijen. De manier waarop deze specifieke bedrijven worden aangevallen is vaak met een supply chain atack of via een man-in-the-middle-attack.

Bij een supply chain attack worden bijvoorbeeld netwerken aangevallen met verborgen malware om in een later stadium een bepaalde dienst of product te kunnen infiltreren of beschadigen die zich verder in de keten van het netwerk bevindt. Dit kan bijvoorbeeld ook door eerst een product of dienst van een third party-leverancier te hacken, die de malware vervolgens naar de ISP of MSP brengt en zich daar weer verder kan verspreiden of gericht actie kan ondernemen.

De nationale inlichtingen- en veiligheidsdienst heeft wel een vermoeden wie achter al deze aanvallen zitten, hoewel ze niet met name worden genoemd. Concreet gaat het om zogeheten ‘state actors’ of nationale staten. Met hun acties zijn deze landen dus in staat om Nederland te bespioneren, eventueel sabotage te plegen of desinformatie te verspreiden.

Alles bij de bron; TechZine

Zo'n 170.000 Nederlanders hebben aangegeven dat zij het afgelopen jaar op één of meerdere socialemedia-accounts zijn gehackt. Er zijn immers genoeg mensen die om verschillende redenen maar wat graag toegang willen tot al je gegevens: een boze ex, een wantrouwende partner of een crimineel.

Voorkomen is natuurlijk beter dan genezen. Maar wat nou als het kwaad al is geschied? Dan kun je de macht over je account weer terugkrijgen door een aantal stappen te doorlopen. Zo doe je dat voor de populaire sociale media Facebook, Instagram en Twitter.

Alles bij de bron; NU

Uitschrijfdienst Unroll.Me heeft stiekem persoonlijke e-mails van gebruikers gedeeld met moederbedrijf Slice, dat de e--mails vervolgens voor marktonderzoeksproducten gebruikte. Unroll.Me biedt gebruikers de mogelijkheid om zich eenvoudig voor allerlei nieuwsbrieven uit te schrijven.

Daarnaast verzamelt de dienst nieuwsbrieven die gebruikers wel willen zien en toont die in één dagelijkse e-mail. Om de nieuwsbrieven te kunnen beheren vraagt Unroll.me toegang tot het e-mailaccount van de gebruiker, die hiervoor zijn inloggegevens moet afstaan. 

Tienduizenden gebruikers besloten dit in eerste instantie niet te doen en Unroll.Me stuurde deze gebruikers vervolgens een bericht waarin het liet weten dat het persoonlijke e-mails van gebruikers niet aanraakte. Op deze manier wist de uitschrijfdienst meer dan 55.000 gebruikers te overtuigen om het toch toegang tot het e-mailaccount te geven.

Persoonlijke e-mails werden echter wel gebruikt en gedeeld. Het ging dan om e-mails van producten en diensten die gebruikers hadden gekocht. Unroll.Me deelde deze e-mails met moederbedrijf Slice, dat de aankoopinformatie uit de berichten voor haar marketingonderzoeksproducten gebruikte.

Volgens de Amerikaanse toezichthouder FTC heeft Unroll.Me gebruikers op deze manier misleid. Het bedrijf heeft nu een schikking met de FTC getroffen. Als onderdeel van de schikking mag Unroll.Me gebruikers niet meer misleiden en moet het gebruikers informeren die na de misleidende verklaring besloten om de dienst toch toegang tot hun e-mailaccount te geven.

Alles bij de bron; Security

De Australische overheid heeft bedrijven en organisaties in het land gewaarschuwd voor password spraying, aangezien het een toename van deze aanval ziet om toegang tot webmail of cloudgebaseerde diensten zoals Office 365 te krijgen.

Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval opgemerkt...

...Om de aanvallen te voorkomen adviseert het Australische Cyber Security Centre (ACSC) om multifactorauthenticatie te implementeren op alle systemen met externe toegang, het gebruik van complexe wachtwoorden via een policy te verplichten, wachtwoorden van getroffen accounts te resetten, geo blocking, ip-whitelisting of vpn's in te voeren en monitoring uit te breiden.

Alles bij de bron; Security

Hackers hebben persoonlijk informatie van duizenden federale agenten en andere FBI-functionarissen in de Verenigde Staten gestolen en openbaar gemaakt. 

De groep  - volgens eigen zeggen waren het er meer dan tien hackers -  kraakte aan de FBI gelieerde websites, waaronder sites van FBI opleidingsinstanties. Daarbij zijn tientallen bestanden met persoonlijke gegevens geüpload naar het web.

De buitgemaakte spreadsheets bevatten ongeveer 4.000 unieke documenten met namen, persoonlijke en overheids-e-mailadressen, functies, telefoonnummers en postadressen. Het doel van de actie was volgens de hacker 'ervaring opdoen en geld verdienen'.

Alles bij de bron; Knack

Twee hackers hebben quizzen op Facebook gebruikt om data te stelen van meer dan zestigduizend gebruikers. Wanneer gebruikers een quiz speelden, werden er "kwaadaardige browserextensies" geïnstalleerd op hun telefoons, tablets en computers. Daardoor hadden de hackers toegang tot de profielen en vriendenlijsten. Die informatie werd vervolgens naar meerdere buitenlandse servers verzonden.

De twee hackers gebruikten de verkregen informatie om nepadvertenties op te zetten en te plaatsen op de nieuwsfeed van de gebruikers.

Facebook klaagt de hackers, die vanuit de Oekraïense hoofdstad Kiev opereerden, nu aan voor illegaal hacken, fraude en het overtreden van de servicevoorwaarden van het sociale medium.

Alles bij de bron; NU

TCL, de fabrikant van o.a. Alcatel-telefoons, heeft met zijn Weer-app, Weather Forecast, geprobeerd klanten stiekem in te schrijven bij een betaaldienst, en pleegde klikfraude. De app verzamelt nog steeds allerlei data van gebruikers.

De fraude is naar aanleiding van een melding van het Britse beveiligingsbedrijf Upstream Systems en The Wall Street Journal inmiddels gestopt, schrijft de krant. Dat gebeurde door een update in november. Wel verzamelt de app nog steeds onder meer e-mailadressen, imei-nummers en geografische gegevens van gebruikers en stuurt die naar een server in China.

De weer-app in kwestie staat voorgeïnstalleerd op Alcatel-telefoons. 

Alles bij de bron; Tweakers

Op wie hebben de hackers het niet gemunt? Het nieuwste wapen: sim-swapping. Vliegtuigmaatschappijen, banken, financiële instellingen, multinationals, zelfs telecomproviders , ze moeten er allemaal aan geloven. Bij deze laatste groep is er sprake van een nieuwe 'tak van sport', genaamd sim-swapping.

Hoe gaat dat in vogelvlucht in zijn werk? Na het maken van zijn huiswerk heeft de hacker niet alleen informatie als adres, geboortedatum en geboorteplaats achterhaald, ook heeft hij soms de laatste cijfers van het rekeningnummer van het slachtoffer boven water gekregen. 
Dan belt hij de telecomprovider om op te geven dat zijn simkaart (die van het slachtoffer dus) het begeven heeft of gestolen is. Het normale protocol wordt doorlopen en (gebruikelijke) beveiligingsvragen beantwoord. 

Na verificatie verzoekt de hacker om het mobiele nummer over te schrijven op een nieuwe simkaart. Daar begint de ellende. Alle berichten en sms’jes worden doorgestuurd, waarna de hacker ook toegang krijgt tot de onlineaccounts gekoppeld aan het 06-nummer. We hebben het hier dan niet alleen over mail en sociale media maar ook over betaaldiensten. 

Wat te doen om je hier tegen te wapenen?

Gebruikers moeten voorzichtig zijn met het gebruik van sms als hun primaire vorm van twee-factor-authenticatie. Er zijn veel problemen met sms als twee-factor-oplossing. Veel financiële instellingen zijn daarom al begonnen met de overstap naar mobiele push-meldingen, die inherent veiliger zijn dan sms.

Mobiele push-meldingen hebben als voordeel dat ze zijn te beschermen met applicatiebeveiligingstechnologie. Daarbij komt dat banken een sterkere interface hebben om zaken te doen met hun klanten.

Consumenten moeten controleren of hun bank al een mobiele app aanbiedt en vervolgens zo snel mogelijk twee-factor-push-authenticatie inschakelen, terwijl de authenticatie via twee-factor-sms wordt uitgeschakeld. 

Veel financiële instellingen balanceren tussen de veiligheidsoplossing en de acceptatie van de oplossing door hun gebruikers. Gebruikersgemak versus veiligheid is een klassieke tweeledige hindernis. In het huidige veiligheidslandschap moeten banken vooral kijken naar het implementeren van beveiligingsoplossingen die het juiste beveiligingsniveau op het juiste moment bieden. 

Sim-swappen mag dan gelden als een nieuwe opkomende trend zijn, die trend is tegelijkertijd - mits de juiste stappen worden gezet - toch gemakkelijk te voorkomen.

Alles bij de bron; Computable

De politie meldde dit weekend dat er twee personen op verdenking van contactloos zakkenrollen in Deventer waren opgepakt, maar van contactloos zakkenrollen blijkt toch geen sprake te zijn. 

Nu meldt de politie dat op basis van onderzoek naar de twee verdachten er geen strafbare feiten zijn vastgesteld. Ook zijn er geen meldingen van mogelijke slachtoffers binnengekomen. De twee aangehouden verdachten zijn daarom in vrijheid gesteld. "Wij begrijpen dat mensen door de berichtgeving gealarmeerd zijn. Dit betreuren wij.

Een woordvoerster van de politie laat tegenover Security.NL weten dat de verdachten niet alleen dicht tegen andere personen aanstonden, maar ook "bepaalde banktransacties deden" die voor de politie bijzonder waren. Wat deze transacties precies inhielden wil de woordvoerster niet zeggen. Ook wil de politie niet laten weten of er apparatuur bij de verdachten is aangetroffen.

Alles bij de bron; Security