Maandelijks archief december 2018

doorSecuratis

Gelre ziekenhuizen waarschuwt voor datalek na phishingaanval

Gelre ziekenhuizen, een opleidingsziekenhuis met locaties in Apeldoorn en Zutphen, heeft patiënten gewaarschuwd voor een datalek nadat een medewerker het slachtoffer van een phishingaanval werd. De medewerker trapte in een phishingmail waardoor inloggegevens in handen van een aanvaller kwamen.

E-mails in het e-mailaccount van de medewerker bevatten patiëntengegevens zoals naam en patiëntennummer. In een enkel geval stond er een diagnose of behandelplan in, zo laat Gelre ziekenhuizen op de eigen website weten. Volgens het ziekenhuis is er geen aanleiding om te denken dat de aanvaller uit was op patiëntgegevens, maar kan niet met zekerheid uitsluiten dat de aanvaller patiëntgegevens heeft ingezien. Uit onderzoek zou blijken dat de aanvaller het account wilde gebruiken om spam te versturen.

De Raad van Bestuur van Gelre ziekenhuizen zegt het incident ten zeerste te betreuren. “Gelre werkt met gerenommeerde beveiligingssoftware en doet er alles aan om situaties als deze te voorkomen. Medewerkers is gevraagd om zelf alert te blijven bij het openen van e-mails.” Na ontdekking van de aanval en het daardoor veroorzaakte datalek is het e-mailaccount geblokkeerd en de Autoriteit Persoonsgegevens geïnformeerd.

https://www.security.nl/posting/590454/Gelre+ziekenhuizen+waarschuwt+voor+datalek+na+phishingaanval?channel=rss

doorSecuratis

Android-malware steelt geld van PayPal-gebruikers via nepclicks

Onderzoekers hebben Android-malware ontdekt die van nepclicks gebruikmaakt om geld van PayPal-gebruikers te stelen. De malafide app doet zich voor als batterijoptimalisatietool en wordt verspreid via onofficiële appstores. Zodra de gebruiker de malware heeft geïnstalleerd vraagt die om “statistieken” in te schakelen. In werkelijkheid wordt er op deze manier een malafide ‘accessibility service’ ingeschakeld.

Vervolgens kijkt de malware of de officiële PayPal-app op het toestel is geïnstalleerd. Wanneer dit het geval is verschijnt er een notificatie waarin de gebruiker wordt gevraagd om de app te starten. Zodra de gebruiker de PayPal-app opent en inlogt, zal de malafide accessibility service, wanneer ingeschakeld door de gebruiker, clicks van de gebruiker nabootsen om zo geld naar het PayPal-adres van de aanvaller over te maken.

Tijdens onderzoek van anti-virusbedrijf ESET probeerde de malware elke keer bij het starten van de PayPal-app 1000 euro over te maken. De valuta is echter afhankelijk van de locatie van het slachtoffer. Volgens de onderzoekers neemt het gehele proces vijf seconden in beslag en hebben nietsvermoedende gebruikers geen manier om de transactie te stoppen. Omdat de malware niet afhankelijk is van gestolen PayPal-inloggegevens, de gebruiker logt namelijk zelf in, omzeilt het ook de tweefactorauthenticatie van PayPal.

De aanval mislukt wanneer de gebruiker onvoldoende geld op zijn PayPal-rekening heeft staan en er geen betaalkaart aan het account is gekoppeld. Verder blijkt de malware via phishingvensters inloggegevens voor onder andere Gmail te stelen. Bij een succesvolle transactie verstuurt PayPal een e-mailbericht. De onderzoekers vermoeden dat de aanvallers met de gestolen Gmail-inloggegevens deze e-mails verwijderen zodat ze langer onopgemerkt blijven.

https://www.security.nl/posting/590452/Android-malware+steelt+geld+van+PayPal-gebruikers+via+nepclicks?channel=rss

doorSecuratis

Honderden Nederlanders slachtoffer “sim-swapping”

Dit jaar zijn al honderden Nederlanders slachtoffer geworden van een “sim-swapping” aanval, zo meldt RTLZ op basis van informatie van verschillende grote Nederlandse telecomproviders. Bij een sim-swapping aanval belt een hacker de telecomprovider van het slachtoffer op en overtuigt hij een medewerker om het 06-nummer over te zetten naar een andere simkaart, die reeds in het bezit is van de hacker. “Ik belde altijd rond vier uur, dat is het moment dat veel medewerkers naar huis gaan en je sneller helpen”, zegt een hacker tegen RTLZ.

Hackers die erin zijn geslaagd om het 06-nummer van iemand over te zetten, kunnen via SMS vaak nieuwe wachtwoorden voor online accounts instellen. Ook kan tweestapsverificatie (2FA) op basis van SMS, waarmee je na het inloggen met een gebruikersnaam en wachtwoord nog een inlogcode moet invoeren, met behulp van sim-swapping worden omzeild.

Slachtoffers merken vaak pas iets van sim-swapping op het moment dat ze geen mobiele verbinding meer hebben. In de tijd dat het slachtoffer dit opmerkt, de telecomprovider belt en het 06-nummer weer terug laat zetten, heeft de hacker al zijn slag geslagen.

https://www.security.nl/posting/590295/Honderden+Nederlanders+slachtoffer+%22sim-swapping%22?channel=rss

doorSecuratis

China arresteert vermoedelijke maker WeChat ransomware

Chinese autoriteiten hebben een 22-jarige verdachte gearresteerd die verantwoordelijk zou zijn voor de uitbraak van WeChat ransomware in China. De man is op 5 december In Dongguan in het zuiden van China opgepakt. Hij wordt ervan verdacht ransomware te hebben gemaakt en verspreid. Meer dan 100.000 computers in China zijn besmet geraakt, meldt de Chinese omroep CGTN.

De ransomware is onderzocht door het Chinese cybersecuritybedrijf Huorong Security. De malware was aanvankelijk verstopt in een populair Chinees softwarepakket voor programmeurs en zou vervolgens in ongeveer 50 programma’s zijn ingebouwd.

Als een van die programma’s werd geïnstalleerd, werden alle .gif, .temp en .exe-bestanden op de pc van het slachtoffer versleuteld. Ook werden login-gegevens van diverse Chinese internetdiensten gestolen.

De ransomware dankt zijn naam aan de manier waarop het losgeld betaald moet worden. Het slachtoffer moet omgerekend 14 euro betalen om de bestanden weer terug te krijgen. Het bedrag kan met behulp van een QR-code via de betaaldienst WeChat van het bedrijf Tencent betaald worden.

De man liep tegen de lamp omdat de QR-code is verbonden aan een persoonlijk account. Medewerkers van Tencent hebben de verdachte op die manier kunnen identificeren en de gegevens aan de politie overhandigd.

https://www.security.nl/posting/590291/China+arresteert+vermoedelijke+maker+WeChat+ransomware?channel=rss

doorSecuratis

Nederland stemt tegen EU-voorstel omtrent opvragen digitaal bewijsmateriaal

Hoewel Nederland heeft tegengestemd, hebben de EU ministers van Justitie vrijdag een voorstel aangenomen waardoor het mogelijk wordt voor opsporingsdiensten om digitaal bewijs rechtstreeks op te vragen bij internetproviders in andere lidstaten, zonder tussenkomst van justitiële autoriteiten in het desbetreffende land.

Het voorstel omschrijft dat digitaal bewijs kan bestaan uit klantgegevens, toegangsdata, gegevens over de activiteiten van een persoon of organisatie en content van een verdachte. Internetproviders die niet meewerken aan een verzoek kunnen een boete tot 2 procent van hun jaaromzet krijgen. Voorwaarden voor het opvragen van digitaal bewijs is dat het gaat om delicten waar minimaal een gevangenisstraf van 3 jaar voor geldt. Alleen voor delicten die vallen onder (cyber)terrorisme geldt de eis van 3 jaar celstraf niet.

Het opgevraagde bewijsmateriaal moet binnen tien dagen geleverd worden, zo is in het voorstel te lezen. Overigens is het opvragen van digitaal bewijs in een ander EU-land nu ook al mogelijk, maar alleen met een rechtshulpverzoek. Het aanvragen van zo’n verzoek kan een paar maanden duren.

Minister Ferdinand Grapperhaus van Justitie en Veiligheid stemde tegen het voorstel omdat ‘het de fundamentele burgerrechten kan aantasten’, zo bericht het FD.

In totaal zeven landen stemden tegen het voorstel, waaronder ook Duitsland. Het Europees Parlement moet ook nog instemmen met het voorstel. Als het Europees Parlement een standpunt heeft ingenomen kan het met de lidstaten gaan onderhandelen over de uiteindelijke wet.

https://www.security.nl/posting/590155/Nederland+stemt+tegen+EU-voorstel+omtrent+opvragen+digitaal+bewijsmateriaal?channel=rss

doorSecuratis

Amerikaans bedrijf aangeklaagd wegens lekken van bijna 4 miljoen patiëntgegevens

Het Amerikaanse bedrijf Medical Informatics Engineering (MIE) is door 12 Amerikaanse staten aangeklaagd voor een datalek in 2015 waarbij bijna 4 miljoen patiëntgegevens in criminele handen kwamen. Kwaadwillenden waren in mei 2015 in staat om binnen te dringen in de backend-systemen van het bedrijf. Ze wisten daar gegevens van 3,9 miljoen burgers te stelen.

Het ging niet alleen om namen en adresgegevens, maar ook om social security-nummers, laboratoriumuitslagen, medische diagnoses, namen van artsen en andere medische gegevens.

MIE wordt beschuldigd van het overtreden van 27 federale wetten die betrekking hebben op het melden van een datalek, misleiding en beveiliging van persoonsgegevens, schrijft Naked Security.

Het bedrijf in kwestie zou de computersystemen onvoldoende hebben beveiligd. Ook werd niemand ingelicht over de slecht beveiligde systemen en werden de gedupeerden te laat geïnformeerd. Op 26 mei 2015 werd de hack ontdekt, op 10 juni werd er een melding over gemaakt op de website van het bedrijf. In juli werd begonnen gedupeerden per e-mail te informeren en pas in december 2017 ontvingen gedupeerden per post een brief over het incident.

In de aanklacht staat dat MIE verzuimd heeft de gevoelige gegevens te versleutelen terwijl het bedrijf dit wel beweerde te doen. Bovendien werden er testaccounts gebruikt met wachtwoorden ‘tester’ en ‘testing’, zodat de medewerkers van klanten niet met een eigen unieke gebruikersnaam hoefden in te loggen. Volgens de aanklagers was het bedrijf al eerder door pentesters gewaarschuwd voor deze risico’s, maar ondernam het geen actie.

Uiteindelijk wisten de aanvallers via een van de testaccounts binnen te komen en werd door middel van SQL-injectie toegang verkregen tot de gegevens in de database.

https://www.security.nl/posting/590154/Amerikaans+bedrijf+aangeklaagd+wegens+lekken+van+bijna+4+miljoen+pati%C3%ABntgegevens?channel=rss

doorSecuratis

22 malafide apps uit Google Play Store verwijderd

Google heeft onlangs 22 apps uit de Google Play Store verwijderd waarmee klikfraude werd uitgevoerd opmobiele advertenties. De apps waren totaal goed voor meer dan twee miljoen downloads. Het betrof veelal games of functionele apps zoals een zaklamp (bv. Sparkle Flashlight). In werkelijkheid bevatte de apps een backdoor om advertentiefraude mogelijk te maken. Onderzoekers van Sophos die het onderzoek hebben uitgevoerd, noemen de apps Andr/Clickr-ad apps.

Sparkle Flashlight en twee andere apps kregen in maart een update die een geheime downloader bevatte. De overige 19 apps waren rond juni dit jaar beschikbaar in de Play Store en hadden al vanaf het begin de downloader aan boord.

Eenmaal geïnstalleerd meldden de apps zich bij een server die in beheer was bij de maker van de apps. Vanaf daar werden elke 80 seconden frauduleuze advertenties gedownload, meldt Ars Technica. Om te voorkomen dat gebruikers argwaan kregen, werden advertenties getoond in een scherm dat nul pixels hoog en nul pixels breed was. Vervolgens genereerde de apps kliks op advertenties afkomstig van zowel Android-telefoons als iPhones, omdat kliks op iPhones meer opleveren, aldus Sophos. De klikgegevens werden gemanipuleerd en kwamen zogenaamd van 33 verschillende soorten Android-telefoons en diverse iPhones van iPhone 5 tot 8 Plus.

Hoewel de apps op 25 november uit de Play Store zijn verwijderd, is de Command and Control-infrastructuur nog altijd actief, waarschuwt Sophos. Ook is niet bekend of alle mensen die de apps hebben geïnstalleerd de malware inmiddels hebben verwijderd.

De volledige lijst van de desbetreffende apps is te vinden op de website van Sophos.

https://www.security.nl/posting/590079/22+malafide+apps+uit+Google+Play+Store+verwijderd?channel=rss

doorSecuratis

Verlopen certificaat zorgt voor storing op Ericsson-netwerk

De storing die donderdag onder meer het netwerk van de Britse mobiele provider O2 platlegde, was het gevolg van een softwarefout en een verlopen certificaat. Netwerkbeheerder Ericsson is met een verklaring naar buiten gekomen over de storing die een deel van het Ericsson netwerk donderdag trof.

In Engeland waren de de providers O2 en Sky Mobile enige tijd uit de lucht, maar de storing trof nog meer bedrijven in andere landen. Een eerste analyse geeft aan dat het hoofdprobleem een verlopen certificaat was in de versies van de software die bij deze klanten waren geïnstalleerd. Het probleem deed zich voor in enkele knooppunten van het netwerk die draaien op twee specifieke softwareversies van de Serving GPRS Support Node – Mobility Management Entity, aldus Ericsson.

“De software die deze problemen heeft veroorzaakt, wordt buiten werking gesteld”, verzekert Börje Ekholm, President en CEO van Ericsson.

Een volledig onderzoek is nog in volle gang. Inmiddels zijn voor de meeste klanten en gebruikers de netwerkproblemen verholpen.

https://www.security.nl/posting/590078/Verlopen+certificaat+zorgt+voor+storing+op+Ericsson-netwerk?channel=rss

doorSecuratis

Huawei en ZTE in steeds meer landen onder vuur

De Chinese telecombedrijven Huawei en ZTE liggen in steeds meer landen onder vuur vanwege het risico dat hun netwerkapparatuur misbruikt wordt voor spionagedoeleinden en cyberaanvallen. Vrijdag werd bekend dat België onderzoekt of het wel netwerkapparatuur van Huawei moet gebruiken. Huawei is de netwerkleverancier van Proximus en Orange Belgium en ZTE levert apparatuur aan Telenet, aldus de Belgische krant de Tijd.

De levering van netwerkapparatuur voor 5G-netwerken ligt erg gevoelig omdat het kritieke infrastructuur betreft. In de toekomst worden er waarschijnlijk heel veel smartphones, machines en auto’s mee verbonden.

Eerder al besloten de VS, Canada, Australië en Nieuw-Zeeland om nieuwe netwerken van Huawei te verbieden.Ook in Japan en Groot-Brittannië bestaat weerstand tegen de Chinese netwerkpartijen. In Groot-Brittannië dreigde Huawei uitgesloten te worden van de aanleg van 5G-netwerken uit vrees voor de risico’s die de apparatuur en software zouden kunnen opleveren. Volgens persbureau Reuters zou Huawei echter bereid zijn om te voldoen aan de veiligheidseisen van het Britse National Cyber Security Centre om te voorkomen dat ze uitgesloten worden bij de aanleg van 5G-netwerken.

In Nederland is Huawei de leverancier van het 4G-netwerk van KPN. In Nederland zijn er wel Kamervragen gesteld over het verbod in de VS en Australië, maar van een verbod is hier nog geen sprake. Wel staat de levering van het C2000 communicatiesysteem van de politie ter discussie omdat ook daar Chinese leveranciers bij betrokken zijn.

Minister Grapperhaus van Justitie en Veiligheid antwoordde in september aan de Tweede Kamer nog dat ‘Nederland een eigenstandige afweging maakt, op basis van factoren zoals deze ook bij het nemen van de voorzorgsmaatregel rondom Kaspersky antivirussoftware zijn gebruikt’.

https://www.security.nl/posting/590077/Huawei+en+ZTE+in+steeds+meer+landen+onder+vuur?channel=rss

doorSecuratis

Eerst verdenkingen Marriott-hack wijzen richting China

China zit mogelijk achter de grootschalige hack van hotelketen Marriott International. Bij de hack die vorige week in de publiciteit kwam, zijn 500 miljoen klantgegevens gelekt. De eerste onderzoeken naar het beveiligingsincident wijzen richting China.

De hulpmiddelen, technieken en procedures die bij de aanval zijn gebruikt, werden al eerder gebruikt bij aanvallen die aan Chinese hackers zijn toegeschreven. Ook zijn er aanwijzingen dat het om een spionage-operatie gaat. De aanvallers handelden niet uit financiële motieven, melden twee anonieme bronnen aan Business Insider.

Het onderzoek is echter nog niet afgerond en er wordt dan ook nog rekening gehouden met andere scenario’s.

Een woordvoerster van de hotelketen weigert commentaar te geven op de eerste onderzoeksresultaten. Ook de Chinese ambassade in Washington heeft niet gereageerd.

De klantgegevens die bij de hack zijn uitgelekt, bevatten onder meer namen, paspoortnummers, adressen, telefoonnummers, geboortedata en e-mailadressen. Van een aantal klanten zijn ook versleutelde creditcardgegevens gestolen, aldus Marriott International.

https://www.security.nl/posting/590032/Eerst+verdenkingen+Marriott-hack+wijzen+richting+China?channel=rss