TCL, de fabrikant van o.a. Alcatel-telefoons, heeft met zijn Weer-app, Weather Forecast, geprobeerd klanten stiekem in te schrijven bij een betaaldienst, en pleegde klikfraude. De app verzamelt nog steeds allerlei data van gebruikers.
De fraude is naar aanleiding van een melding van het Britse beveiligingsbedrijf Upstream Systems en The Wall Street Journal inmiddels gestopt, schrijft de krant. Dat gebeurde door een update in november. Wel verzamelt de app nog steeds onder meer e-mailadressen, imei-nummers en geografische gegevens van gebruikers en stuurt die naar een server in China.
De weer-app in kwestie staat voorgeïnstalleerd op Alcatel-telefoons.
Op wie hebben de hackers het niet gemunt? Het nieuwste wapen: sim-swapping. Vliegtuigmaatschappijen, banken, financiële instellingen, multinationals, zelfs telecomproviders , ze moeten er allemaal aan geloven. Bij deze laatste groep is er sprake van een nieuwe 'tak van sport', genaamd sim-swapping.
Hoe gaat dat in vogelvlucht in zijn werk? Na het maken van zijn huiswerk heeft de hacker niet alleen informatie als adres, geboortedatum en geboorteplaats achterhaald, ook heeft hij soms de laatste cijfers van het rekeningnummer van het slachtoffer boven water gekregen. Dan belt hij de telecomprovider om op te geven dat zijn simkaart (die van het slachtoffer dus) het begeven heeft of gestolen is. Het normale protocol wordt doorlopen en (gebruikelijke) beveiligingsvragen beantwoord.
Na verificatie verzoekt de hacker om het mobiele nummer over te schrijven op een nieuwe simkaart. Daar begint de ellende. Alle berichten en sms’jes worden doorgestuurd, waarna de hacker ook toegang krijgt tot de onlineaccounts gekoppeld aan het 06-nummer. We hebben het hier dan niet alleen over mail en sociale media maar ook over betaaldiensten.
Wat te doen om je hier tegen te wapenen?
Gebruikers moeten voorzichtig zijn met het gebruik van sms als hun primaire vorm van twee-factor-authenticatie. Er zijn veel problemen met sms als twee-factor-oplossing. Veel financiële instellingen zijn daarom al begonnen met de overstap naar mobiele push-meldingen, die inherent veiliger zijn dan sms.
Mobiele push-meldingen hebben als voordeel dat ze zijn te beschermen met applicatiebeveiligingstechnologie. Daarbij komt dat banken een sterkere interface hebben om zaken te doen met hun klanten.
Consumenten moeten controleren of hun bank al een mobiele app aanbiedt en vervolgens zo snel mogelijk twee-factor-push-authenticatie inschakelen, terwijl de authenticatie via twee-factor-sms wordt uitgeschakeld.
Veel financiële instellingen balanceren tussen de veiligheidsoplossing en de acceptatie van de oplossing door hun gebruikers. Gebruikersgemak versus veiligheid is een klassieke tweeledige hindernis. In het huidige veiligheidslandschap moeten banken vooral kijken naar het implementeren van beveiligingsoplossingen die het juiste beveiligingsniveau op het juiste moment bieden.
Sim-swappen mag dan gelden als een nieuwe opkomende trend zijn, die trend is tegelijkertijd - mits de juiste stappen worden gezet - toch gemakkelijk te voorkomen.
De politie meldde dit weekend dat er twee personen op verdenking van contactloos zakkenrollen in Deventer waren opgepakt, maar van contactloos zakkenrollen blijkt toch geen sprake te zijn.
Nu meldt de politie dat op basis van onderzoek naar de twee verdachten er geen strafbare feiten zijn vastgesteld. Ook zijn er geen meldingen van mogelijke slachtoffers binnengekomen. De twee aangehouden verdachten zijn daarom in vrijheid gesteld. "Wij begrijpen dat mensen door de berichtgeving gealarmeerd zijn. Dit betreuren wij.
Een woordvoerster van de politie laat tegenover Security.NL weten dat de verdachten niet alleen dicht tegen andere personen aanstonden, maar ook "bepaalde banktransacties deden" die voor de politie bijzonder waren. Wat deze transacties precies inhielden wil de woordvoerster niet zeggen. Ook wil de politie niet laten weten of er apparatuur bij de verdachten is aangetroffen.
Een Tilburgse politieagent is donderdag veroordeeld voor schending van zijn ambtsgeheim omdat hij onnodig op zoek ging naar informatie in het politiesysteem. Het vermoeden bestaat dat de geheime informatie van de politie bij een groep Marokkaanse criminelen is beland.
Zij hebben de informatie gebruikt om achter de verblijfplaats van een vijand te komen en om zijn familie onder druk te zetten. Bij de vriendin van de gezochte man werd een envelop bezorgd met onder andere zijn politiefoto en informatie over auto’s die hij gebruikte. Bij zijn oom, vader en vriendin in Nieuwegein werden korte tijd later aanslagen gepleegd.
Bewijs dat de agent de geheime informatie zelf heeft gedeeld is niet gevonden maar de rechtbank gaat er wel vanuit dat hij de informatie heeft gelekt. Volgens de rechter heeft hij minstens het risico genomen dat de gegevens voor criminele doeleinden zouden worden gebruikt, aldus de uitspraak.
Cybersecuritybedrijf ESET waarschuwt voor een app die sprekend lijkt op de officiële app van PostNL, maar die bedoeld is om inloggegevens voor internetbankieren te onderscheppen. Zeker 600 Nederlanders hebben inmiddels een link naar de app geopend, waarschuwt het bedrijf.
De app wordt verspreid via sms en sociale media. Hij is te downloaden via een link in de berichten. Volgens het beveiligingsbedrijf kan de app niet alleen de wachtwoorden van gebruikers bijhouden, maar onderschept hij ook binnenkomende sms-berichten. Dat laatste is bedoeld om berichten voor tweefactorauthenticatie te ontvangen, waarvan onder andere ING gebruik maakt. Verder steelt de app informatie uit contactlijsten en stuurt hij zelf sms-berichten met de download-link naar de contacten, zodat hij zich verder kan verspreiden.
Zwart, zwart, zwart, zwart, zwart. Een voor een krijgen alle monitors in de kantoortuin zwarte schermen. Er verschijnen rode letters op.
De verwarring is groot. Wat moeten we op ons werk dóén zonder computer? Er ontstaan rijen naar de uitgang, waar medewerkers over de toegangspoortjes heen moeten klimmen – ook de pasjes werken niet meer. Het tafereel speelt zich af op tientallen plaatsen tegelijk. Bedrijven in heel Nederland blijken getroffen.
We dachten dat het niet eens kon. Dat internet uitgevonden was als techniek om zelfs na een kernbom te blijven functioneren. Gerichte verstoring: ja. Totale verstoring: nee.....
Dit artikel is gebaseerd op diverse reconstructies van daadwerkelijke cyberaanvallen, zoals NotPetya en WannaCry in 2017 en de aanval op internetdienstverlener Dyn in 2016. Ook rapporten van cyberveiligheidsbedrijven over internet of things-botnets zoals Hajime en Mirai werden geraadpleegd, net als rapporten en persberichten van de Nationaal Coördinator Terrorismebestrijding en de Duitse geheime dienst BfV.
Onderdelen van het scenario zijn daarnaast besproken met prof. Aiko Pras (Universiteit Twente), Ronald Prins (voormalig directeur cyberveiligheidsbedrijf Fox-IT) en prof. Michel van Eeten (TU Delft). Prins en Pras zijn stellig: internet kan inderdaad grootschalig uitvallen, en als dat gebeurt gaat dat voor enorme ontwrichting zorgen. Aiko Pras denkt dat DDoS-aanvallen veel groter en verstorender zullen worden dan ze tot nu toe zijn geweest.
Ronald Prins vreest vooral voor de gevolgen van onvoorspelbare kettingreacties en voor het maatschappelijke effect van een grootschalige, gecoördineerde aanval op de banken. Beiden zijn zeer bezorgd over hoe Nederland is voorbereid op dit soort scenario’s.
Van Eeten denkt dat internet zo flexibel is dat het niet zo grootschalig en langdurig is uit te schakelen als in dit artikel wordt geschetst. Hij wijst erop dat er jarenlang zorgen waren over grote cascade-effecten bij een eventuele storing van internetknooppunt AMS-IX. Ontregelende kettingreacties bleven vrijwel uit tijdens een storing in 2015.
Surveillanceleverancier NSO Group zou in staat zijn om iPhones zonder interactie van gebruikers met spyware te infecteren en zo volledige controle te krijgen. Afgelopen week werd bekend dat de Pegasus-spyware die de NSO Group aan overheidsinstanties en opsporingsdiensten levert in 45 landen is waargenomen, waaronder Nederland.
In 2016 werd de Pegasus-spyware voor het eerste ontdekt bij een aanval op een mensenrechtenactivist. De activist ontving een sms-bericht met een linkje. Het linkje wees naar een pagina die misbruik maakte van drie onbekende kwetsbaarheden in iOS waardoor de Pegasus-spyware op het systeem kon worden geïnstalleerd. Via de spyware kunnen aanvallers toegang krijgen tot de camera en microfoon, de locatie van het doelwit achterhalen en communicatie via chat-apps zoals WhatsApp en Telegram afluisteren en onderscheppen.
Vice Magazine sprak met een bron die een demonstratie van de NSO Group kreeg. Hij had een iPhone met een buitenlands nummer meegenomen en gaf het bedrijf dit nummer en plaatste de iPhone op een bureau. Na een aantal minuten waren medewerkers van de NSO Group erin geslaagd het toestel zonder interactie van de gebruiker te compromitteren en hadden ze toegang tot alle informatie op het toestel. Ook schakelden ze de microfoon en camera van de iPhone in.
Welke versie van iOS deze iPhone draaide en of die op het moment van de demonstratie volledig was gepatcht wordt niet gemeld. De Pegasus-spyware bestaat ook voor het Android-platform. Hoe de Android-versie wordt geïnstalleerd is onbekend.
De Gegevensbeschermingsautoriteit, de Belgische evenknie van de Nederlandse Autoriteit Persoonsgegevens, heeft goedkeuring gegeven voor een besluit dat politieagenten het recht geeft om op internet te infiltreren.
Dat betekent dat de weg vrijstaat voor lokale en federale politiediensten om via internet contact te leggen met mensen over wie er serieuze aanwijzingen zijn dat ze strafbare feiten plegen. Dit mag alleen als het gaat om verdenkingen van misdrijven waarop minimaal een jaar gevangenisstraf staat. Het gaat bijvoorbeeld om oplichting, zedenmisdrijven, illegale wapenhandel en terrorisme. De bevoegdheid strekt zich ook uit tot infiltreren op het dark web.
In bepaalde situaties mogen de agenten ook de hulp inroepen van niet-politiemensen, zoals hackers. De politiemensen mogen zelf tijdens het infiltreren ook strafbare feiten plegen, zoals extremistische uitspraken doen, bedreigen of illegale bestanden verspreiden.
