Maandelijks archief december 2019

doorSecuratis

Politie pakt Rotterdammer op voor grootschalige Tikkiefraude

Politie heeft een 20-jarige Rotterdammer aangehouden op verdenking van grootschalige Tikkiefraude. De man zou meer dan zestig mensen hebben opgelicht en daarbij tienduizenden euro’s hebben gestolen. Verdachte benaderde verkopers op Marktplaats en vroeg hen een cent over te maken.

Dit zou nodig zijn om de identiteit van de verkoper te controleren. De betaalverzoeken wezen echter naar phishingsites. Met gegevens die slachtoffers daar invoerden kon de man geld van rekeningen stelen. De Rotterdammer liep tegen de lamp na samenwerking tussen het televisieprogramma Opgelicht?! en diverse politieafdelingen in het hele land. Het programma tipte de politie dat veel slachtoffers zich hadden gemeld. Hierbij bleek dat steeds een bepaald telefoonnummer werd gebruikt.

Zeker zestig aangiften hadden met dit telefoonnummer te maken. De politie identificeerde vervolgens de gebruiker. De weken erna werd nog meer informatie rondom de man verzameld, zodat er voldoende grond was om naast zijn aanhouding ook een huiszoeking uit te voeren. Afgelopen woensdag werd de man in zijn woning aangehouden.

https://www.security.nl/posting/634400/Politie+pakt+Rotterdammer+op+voor+grootschalige+Tikkiefraude?channel=rss

doorSecuratis

Vpn’s op Linux, macOS, iOS en Android kwetsbaar voor aanvallers

Een beveiligingslek in Linux, FreeBSD, OpenBSD, macOS, iOS en Android maakt het in bepaalde gevallen mogelijk voor aanvallers om verbindingen in de vpn-tunnel te kapen, te zien of er bepaalde websites worden bezocht en of de gebruiker een vpn gebruikt. De aanvaller hoeft hiervoor alleen pakketjes naar het doelwit te kunnen sturen. Dat stellen onderzoekers van de Universiteit van New Mexico.

Om de aanval uit te voeren moet een slachtoffer wel met een kwaadaardig wifi-netwerk zijn verbonden of moet de aanvaller op hetzelfde netwerk zitten. Vervolgens kan de aanvaller door het versturen van bepaalde pakketjes zien of de gebruiker een specifieke website bezoekt en is het mogelijk om verkeer in de tcp-stream te injecteren. Het probleem is aanwezig in vpn-implementaties zoals OpenVPN, WireGuard en IKEv2/IPSec, alsmede *nix-gebaseerde besturingssystemen. Het maakt daarbij niet uit of er van ipv4 of ipv6 gebruik wordt gemaakt.

Gebruikers kunnen verschillende maatregelen nemen om zich te beschermen, waaronder het inschakelen van reverse path filtering en bogon filtering, hoewel deze opties ook nieuwe problemen kunnen introduceren. Een andere mogelijke optie is het toevoegen van padding aan versleutelde pakketjes. De onderzoekers merken echter op dat dit geen bevredigende oplossingen zijn. Pas nadat er een goede workaround is gevonden zullen ze meer details over hun onderzoek vrijgeven.

https://www.security.nl/posting/634385/Vpn%27s+op+Linux%2C+macOS%2C+iOS+en+Android+kwetsbaar+voor+aanvallers?channel=rss

doorSecuratis

FBI looft 5 miljoen dollar uit voor aanhouding vermeende cybercrimineel

De FBI heeft 5 miljoen dollar uitgeloofd voor de aanhouding van een 32-jarige vermeende cybercrimineel uit Rusland. Het is de hoogste beloning die ooit in de VS voor de aanhouding van een cybercrimeverdachte is uitgeloofd. Het vorige bedrag stond op 3 miljoen dollar. De man zou een cybercrimebende leiden die de afgelopen jaren via malware miljoenen euro’s wist te stelen.

Zo zou de bende tal van organisaties met de Dridex- en Zeus-malware hebben besmet. Daarmee konden gegevens worden gestolen die toegang tot bankrekeningen gaven. Vervolgens werd het geld van de rekeningen naar katvangers overgemaakt. De schade loopt mogelijk in de honderden miljoenen dollars, aldus het Amerikaanse ministerie van Justitie, dat de Rus heeft aangeklaagd.

Tevens heeft het ministerie een beloning van 5 miljoen dollar uitgeloofd voor informatie die tot de aanhouding en veroordeling van de Rus leidt. Niet eerder werd er een dergelijke hoog bedrag uitgeloofd voor de aanhouding van iemand die van cybercrime wordt verdacht. Naast de 32-jarige Rus is ook een 38-jarige man uit Rusland aangeklaagd voor betrokkenheid bij het verspreiden van de Dridex-malware en fraude met internetbankieren. Voor zijn aanhouding is geen tipgeld beschikbaar gemaakt.

https://www.security.nl/posting/634228/FBI+looft+5+miljoen+dollar+uit+voor+aanhouding+vermeende+cybercrimineel?channel=rss

doorSecuratis

Ernstig remote authenticatielek in OpenBSD gepatcht

Er is een ernstig remote authenticatielek in OpenBSD gepatcht dat aanvallers op afstand toegang tot verschillende systemen had kunnen geven. De kwetsbaarheid in het authenticatiesysteem werd ontdekt door onderzoekers van securitybedrijf Qualys en maakte het mogelijk om de authenticatie te omzeilen.

Door het opgeven van een bepaalde gebruikersnaam kon een remote aanvaller in het geval van smtpd, ldapd en radiusd de authenticatie beïnvloeden zodat die automatisch succesvol was. Zodoende was het mogelijk om zonder geldig wachtwoord in te loggen. Hiervoor moest de gebruikersnaam “-schallenge” (of “-schallenge:passwd”) worden gebruikt. Zodra een aanvaller deze gebruikersnaam opgaf werd hij automatisch ingelogd.

De aanval werkte vanwege “defense-in-depth” maatregelen niet tegen sshd. Qualys waarschuwde de ontwikkelaars van OpenBSD, die binnen 40 uur met een patch kwamen. Naast het authenticatielek zijn ook drie andere kwetsbaarheden verholpen waardoor een aanvaller die al toegang tot een systeem had zijn rechten kon verhogen. Gebruikers van OpenBSD 6.5 en OpenBSD 6.6 krijgen het advies om de laatste updates te installeren.

https://www.security.nl/posting/634201/Ernstig+remote+authenticatielek+in+OpenBSD+gepatcht?channel=rss

doorSecuratis

Consumentenbond wil dat banken soepeler omgaan met phishing

Banken moeten soepeler omgaan met phishing en slachtoffers ruimhartiger vergoeden, zo vindt de Consumentenbond. Dergelijke schade wordt door banken in de regel vergoed tenzij de klant ‘grof nalatig’ is geweest door bijvoorbeeld zijn bankgegevens te delen met derden. Dat staat in de veiligheidsvoorschriften die alle banken in Nederland hanteren en mede door de Consumentenbond zijn opgesteld.

De Consumentenbond stelde eerder dat bankklanten zich geen zorgen over de veiligheidsregels hoeven te maken. Nu laat de consumentenorganisatie weten dat banken “nalatigheid” verschillend interpreteren. Zo vergoedt de Rabobank wel de schade van een panellid dat via helpdeskfraude geld kwijtraakte, maar kregen twee ING-klanten die op dezelfde manier werden opgelicht niets vergoed. Een ander lid van het Consumentenbondpanel werd voor 1500 euro via WhatsApp opgelicht. Volgens de bank was het haar eigen schuld.

Twee andere panelleden werden slachtoffer van QR-fraude waarbij ze waren overgehaald om een QR-code met hun mobiel te scannen om zogenaamd een transactie goed te keuren. Door het scannen van de QR-code zette de crimineel de mobiel bankieren app op zijn eigen mobiele telefoon. ING oordeelde dat de slachtoffers vrijwillig toestemming hadden gegeven tot hun bankomgeving en dus nalatig waren geweest. Eén van de gedupeerden kreeg na druk vanuit de media zijn geld terug, de ander niet.

“Criminelen ontfutselen op steeds weer nieuwe en slimmere manieren betaalgegevens van consumenten, zonder dat zij dat in de gaten hebben. Je kunt van consumenten niet verwachten dat ze al die trucs kennen. Ook niet door de voorlichtingscampagnes van de banken. Die zijn uiteraard belangrijk, maar sluiten oplichting niet uit”, zegt Sandra Molenaar, directeur Consumentenbond. “Wij vinden het de verantwoordelijkheid van banken om ervoor te zorgen dat de verschillende online betaaldiensten veilig te gebruiken zijn. Wij roepen de banken dan ook op om een eenduidig en ruimhartig vergoedingenbeleid te voeren.”

https://www.security.nl/posting/633989/Consumentenbond+wil+dat+banken+soepeler+omgaan+met+phishing?channel=rss

doorSecuratis

IBM: aanval in Midden-Oosten met malware die MBR wist

In het Midden-Oosten heeft een “vernietigende aanval” plaatsgevonden met malware die de Master Boot Record (MBR) van harde schijven wist en partities overschrijft, waardoor data verloren gaat en systemen niet meer opstarten, zo stelt IBM op basis van eigen onderzoek.

Landen en namen van organisaties die door de aanval zijn getroffen zijn niet bekendgemaakt. De malware in kwestie wordt door IBM “ZeroCleare” genoemd en gebruikt het programma RawDisk van het softwarebedrijf Eldos om data te wissen. “De aanvallers achter ZeroCleare gebruiken RawDisk om de MBR te wissen en schijfpartities van een groot aantal systemen te beschadigen”, aldus Limor Kessem van IBM. De MBR bevat gegevens over het soort en de locatie van de logische partities van de harde schijf en bevat de bootloader van het besturingssysteem. Het is essentieel voor de computer om te kunnen starten.

In 2012 werden 30.000 computers van de Saoedische oliegigant Saudi Aramco door zogeheten “wiper-malware” gewist. Die aanval begon met documenten met kwaadaardige macro’s. Hoe aanvallers toegang tot systemen van de getroffen organisaties kregen om ZeroCleare te installeren laat IBM niet weten. Wel claimt het bedrijf dat de malware bij een “vernietigende aanval” in het Midden-Oosten is ingezet die bedrijven in de energie en industriële sectoren heeft getroffen.

Volgens IBM maken aanvallers bij de meeste aanvallen gebruik van accounts met verhoogde rechten om zich verder in het netwerk te bewegen. Er wordt dan ook aangeraden om het aantal van dergelijke accounts te beperken en ze van multifactorauthenticatie te voorzien. Daarnaast moet het niet mogelijk zijn om met één account alle systemen te benaderen. Tevens doen organisaties er verstandig aan om back-ups te maken, die te testen en offline te bewaren.

https://www.security.nl/posting/633978/IBM%3A+aanval+in+Midden-Oosten+met+malware+die+MBR+wist?channel=rss

doorSecuratis

OM eist celstraf voor inbreken op honderden iCloudaccounts

Het Openbaar Ministerie heeft tegen een 35-jarige man uit Almere die wordt verdacht van het inbreken op honderden iCloudaccounts een onvoorwaardelijke gevangenisstraf van 3 jaar geëist. Het ging om accounts van vrouwen uit zijn eigen omgeving en van vrouwen die hij kende uit de media.

De zaak kwam aan het rollen nadat een 32-jarige vrouw aangifte had gedaan dat er op haar iCloudaccount was ingebroken en er privémateriaal was verspreid. Volgens het OM is de omvang van het aantal accounts waarop is ingebroken ongekend. “Honderden accounts heeft hij binnengedrongen, waarbij hij de privacy van de slachtoffers veelvuldig en herhaaldelijk met voeten heeft getreden.”

Hoe de man toegang tot de accounts wist te krijgen laat het OM niet weten. Wel waarschuwt het Openbaar Ministerie dat niet iedereen alert is op malafide inlogpogingen op een account. “Vaak wordt een melding door bijvoorbeeld Apple of Google genegeerd, of is het de gebruiker onduidelijk wat ermee wordt bedoeld.”

De officier van justitie heeft een onvoorwaardelijke gevangenisstraf van drie jaar geëist en betaling van schadevergoeding aan de slachtoffers. De rechtbank doet naar verwachting op 24 december uitspraak. De man heeft inmiddels bekend.

https://www.security.nl/posting/633795/OM+eist+celstraf+voor+inbreken+op+honderden+iCloudaccounts?channel=rss

doorSecuratis

Choice Hotels lekte data van klanten van wie Safari crashte

Hotelketen Choice Hotels heeft klanten gewaarschuwd dat hun gegevens zijn gelekt wanneer ze van Safari gebruikmaakten en de browser op de hotelsite crashte. Het probleem speelde van juni 2015 tot 12 november 2019. Zodra gebruikers reserveringsgegevens invoerden en de browser crashte, plaatste Safari na de herstart deze data in de url van de gecrashte hotelpagina die door de browser opnieuw was geladen.

De trackers op de pagina van de hotelsite stuurden de data vervolgens door naar meerdere derde partijen, die zo persoonlijke informatie in handen kregen. Het probleem speelde alleen bij Safari en kon zich volgens de hotelketen voordoen door de wijze waarop Safari was geprogrammeerd. Van juni 2015 tot 12 november 2019 heeft het probleem zich 88.000 keer voorgedaan.

Choice Hotels heeft getroffen gasten die vanaf april 2016 een hotel hadden gereserveerd gewaarschuwd. Voor gasten voor deze periode was dat niet meer mogelijk. Onder de verstuurde reserveringsgegevens bevonden zich e-mailadressen, adresgegevens, creditcardnummers en verloopdatum, alsmede in bepaalde gevallen ook de beveiligingscode. Naar aanleiding van het datalek heeft de hotelketen de code van de website aangepast en derde partijen die de data ontvingen gevraagd die te verwijderen.

https://www.security.nl/posting/633791/Choice+Hotels+lekte+data+van+klanten+van+wie+Safari+crashte?channel=rss

doorSecuratis

Kabinet vraagt reacties op verbod op cashbetalingen vanaf 3.000 euro

Door MathFox: Nu het mogelijk is om binnen enkele seconden geld over te maken tussen twee bankrekeningen is er veel minder noodzaak tot contante betaling.

Er hangt een redelijk fors prijskaartje aan. Mischien dat jij dat prijskaartje zo geaccepteerd hebt dat je er niet meer over nadenkt, maar het is er wel.

Maar er blijven wat uitzonderingen: Mensen met buitenlandse bankrekeningen bijvoorbeeld, ouderen die niet Internetbankieren, enz.

Er zijn wel meer uitzonderingen hoor. Mensen die gewoon geen “digitale” toegang krijgen bijvoorbeeld. (Ik heb het gevraagd, bank wilde niet terwijl ze anderen het wel aanboden. Nu proberen ze iedereen die richting in te duwen met prijsverhoginen en andere pesterijen, maar ondertussen is aan hun weigering tegenover mij niets veranderd.) Mensen die zelfs helemaal geen bankrekening meer krijgen. Mensen die keihard hun bankrekening (en geld) afgepakt is en nu op de zwarte lijst staan dus bij geen enkele andere bank terecht kunnen. Gewoon Nederlanders, maar de banken hebben even bepaald dat ze niet meer mee mogen doen. Zonder wederhoor, zonder rechter. Gewoon, de bank beslist dat even. Contant afschaffen, ook al is het “alleen maar” voor bedragen groter dan een arbitrair gekozen “groot” bedrag raakt zulke mensen nog weer harder.

Vroeger vonden we 25000 gulden nog groot, of 10000 euro. Nu is 3000 al “groot” en met al die jaren voortmarcherende inflatie is dat een equivalent van mischien 1000 gulden toen. Dat perspectief moet je niet vergeten.

Over de andere voorstellen: gegevens uitwisselen is slecht voor de privacy. Ik vraag me dan ook af welke privacywaarborgen er in het voorstel zitten en ook hoe een consument kan afdringen dat foutieve gegevens of interpretaties gecorrigeerd worden. Hoe meer gegevens “gedeeld” worden, hoe meer kans dat onjuiste gegevens blijven rondzingen. Met de kans dat een kleine groep mensen overmatig veel tijd kwijt is aan het rechtzetten van door derden gemaakte fouten.

Dit is een achterhoedegevecht. De burger telt gewoon niet meer mee. En eigenlijk, als je al begint te zeggen dat grootbedrijven best alle controle over jouw geld mogen hebben (want contant mag niet meer dus is het alternatief bankieren bij zo’n “too big to fail” tent want de rest komt niet door de DNB-keuring heen) dan heb je al opgegeven.

Hoezo is privacy dan nog belangrijk? Het is een vlag op een modderschuit.

https://www.security.nl/posting/633617/Kabinet+vraagt+reacties+op+verbod+op+cashbetalingen+vanaf+3_000+euro?channel=rss

doorSecuratis

China verplicht gezichtsscan voor nieuwe telecomabonnees

Hoe vele malen is uw gezicht al niet gescanned?
Zonder dat u er weet van had en zonder dat autoriteiten toegaven dat ze het al doen of deden?
Komt al snel door commercie bij de grootgrutter bij u in de buurt.

Is de techniek aanwezig wordt er gebruik (ahum – misbruik) van gemaakt.

In Mainland China is het eerlijker, daar verbergt men de agenda niet voor de bevolking.
Hier moet je maar naar de feitelijke agenda van de machthebbers raden.

Dan kan het alsnog vies of lekker tegenvallen, een contradictio in terminis, dat hier feitelijk al regeert.
Men zegt het een en doet het vervolgens iets geheel anders.

Of je nu door een ijzeren greep of een fluwelen langzaam de strot wordt dichtgeknepen.
Wat is het verschil in uitwerking?

J.O.

https://www.security.nl/posting/633559/China+verplicht+gezichtsscan+voor+nieuwe+telecomabonnees?channel=rss