Cybercrime

De Iraanse hackergroep RampantKitten heeft langdurig Iraanse expats en dissidenten afgeluisterd en in de gaten gehouden. Onderzoekers van Check Point Software melden dat de grootschalige afluisterzaak minstens zes jaar lang onder de radar is gebleven.

De aanvallers zijn binnengedrongen op pc’s en smartphones en hebben communicatie via Telegram en diverse social media onderschept of afgeluisterd. 

Om toegang te krijgen tot pc’s werd gebruikt gemaakt van een Word-bestand. Het Word-bestand bevatte externe sjablonen waardoor het documentsjabloon van een externe server kon worden geladen met een url die sterk leek op een Sharepoint-server. In het externe sjabloon zit een kwaadaardige macrocode die een batch-bestand laadt en malware installeert. De malware controleert vervolgens of de desktop-versie van Telegram is geïnstalleerd. Als dat het geval is worden drie executable-bestanden geladen die het berichtenverkeer onderscheppen.

Alles bij de bron: Security


De Amerikaanse autoriteiten zeggen het bestaan te hebben ontdekt van een geavanceerd Russisch hackerswapen. Dat heeft de codenaam Drovorub en kan worden gebruikt om in te breken in computers die draaien op besturingssysteem Linux.

De NSA en FBI zeggen dat de Russische militaire inlichtingendienst GROe het hackerswapen gebruikt. Een topmedewerker van de NSA zei dat veel computers bij Amerikaanse veiligheidsdiensten, defensiebedrijven en het ministerie van Defensie draaien op Linux. Die zouden kwetsbaar zijn als geen actie wordt ondernomen. Een expert van cyberveiligheidsbedrijf McAfee vergelijkt Drovorub met een Zwitsers zakmes, dat allerlei taken kan uitvoeren. Hackers kunnen bijvoorbeeld bestanden stelen of de controle overnemen over de computer van het slachtoffer.

Alles bij de bron; AGConnect


 

De Autoriteit Financiële Markten (AFM) heeft 2500 Nederlanders via een brief gewaarschuwd dat hun namen en adresgegevens op een internationale bellijst van beleggingsoplichters staan. Het gaat om zogeheten boilerrooms, waarbij oplichters slachtoffers met dubieuze beleggingsaanbiedingen benaderen.

Vorig jaar ontving de Fraudehelpdesk 429 meldingen van beleggingsfraude. 379 mensen die in 2019 bij de Fraudehelpdesk aanklopten werden ook daadwerkelijk slachtoffer van de oplichters en verloren in totaal 10,7 miljoen euro. De AFM stelt dat het werkelijke aantal slachtoffers waarschijnlijk hoger ligt, omdat beleggingsfraude niet altijd wordt gemeld.

De bellijsten die oplichters gebruiken zijn samengesteld op basis van gegevens die mensen al dan niet onbewust op internet hebben achtergelaten. Het kan dan gaan om advertenties op Facebook of via websites met beleggingsaanbiedingen, aldus de AFM. Doordat de lijsten blijven circuleren komen die steeds weer in handen van nieuwe oplichters die de personen op deze lijsten opnieuw kunnen benaderen. "Op de lijst komen is dus gemakkelijk, maar er vanaf komen lijkt haast onmogelijk", zo laat de toezichthouder weten.

Alles bij de bron; Security


 

In Amsterdam e.o. is een levendige handel ontdekt in accounts van Felyx-deelscooters. Deze accounts worden gehackt en online verhandeld, inclusief rijbewijs en betaalgegevens van een ander.

Gebruikers van de scooter-deeldienst vullen normaal gesproken eerst hun betaalgegevens in en valideren dan hun rijbewijs. Die geverifieerde accounts worden nu doorverkocht zodat kopers gratis én zonder rijbewijs een scooter kunnen rijden. Verkeersagent Jeroen Heuts meldde de hack op twitter. Volgens hem zijn precieze aantallen niet bekend. 

Alles bij de bron; Cops-in-Cyberspace


 

De privégegevens van afgestudeerden aan de TU Delft en Universiteit Utrecht zijn in handen gekomen van cybercriminelen. De onderwijsinstellingen zijn hierover op de hoogte gebracht door CRM-leverancier Blackbaud, dat back-ups van de universiteiten op zijn server had staan. De twee Nederlandse universiteiten bevinden zich in een reeks onderwijsinstellingen wereldwijd die via deze softwarefirma een datalek blijken te hebben.

Bij de universiteit Delft gaat het om een verouderde back-up uit 2017 waar de persoonsgegevens van alumni op stonden, zoals naam, geslacht en geboortedatum. Ook de contactgegevens, mailadres, telefoonnummer en postadres, alsook opleidings- en loopbaangegevens, stonden op de server. In Utrecht kwamen via diens oude back-up uit 2017 ook persoonsgegevens van donateurs en relaties in handen van de hackers...

...Voor deze 'buit' hebben de afpersers wel betaling ontvangen, zo geeft Blackbaud aan in zijn melding van deze hack. De TU Delft meldt hierover: "Blackbaud heeft bevestiging ontvangen dat de betreffende back-up met data is vernietigd door de hackers en meldt dat er geen aanleiding is om aan te nemen dat de data door hen zijn verspreid." De UU sluit zich hierbij aan

Alles bij de bron; AGConnect


 

Via een chip van Qualcomm, die in ongeveer veertig procent van alle Android-telefoons zit, kunnen hackers de gsm bespioneren, niet meer laten reageren of kwaadaardige activiteiten verbergen. Dat hebben onderzoekers ontdekt. 

De chip in kwestie is een zogenaamde digital signal processing (dsp)-chip die volgens Check Point ‘honderden’ kwetsbare delen code bevat. Een dergelijke chip is gespecialiseerd in het verwerken van realtime-signalen, zoals spraak-, video- en omgevingssignalen, en deze om te zetten in verwerkbare digitale data. De chip wordt bijvoorbeeld gebruikt om je stem te herkennen als je ‘Hé, Google’ naar je telefoon roept.

Check Point ziet drie grote problemen met de dsp’s van Qualcomm. Hackers kunnen de smartphone in een perfect spionagetoestel omtoveren, zonder dat er enige gebruikersinteractie nodig is. Alle data op de telefoon is te lekken, van foto's, video's, telefoongesprekken tot realtime-opnames via de microfoon, gps- en locatiegegevens. Het is ook mogelijk de telefoon niet meer te laten reageren, waardoor alle informatie - inclusief foto's, video's, contactgegevens - permanent niet meer beschikbaar is. Tot slot kan malware en andere kwaadaardige codes de activiteiten van een hacker volledig verbergen. Bovendien is deze malware niet zomaar te verwijderen.

Het is ook niet zo gigantisch moeilijk om de kwetsbaarheid uit te buiten, zegt Check Point. Daarvoor zou een hacker zijn slachtoffer enkel moeten overtuigen om een eenvoudige app te installeren. Die app moet zelfs geen machtiging of toegangsrechten krijgen. 

De chips introduceren nieuwe aanvalsmogelijkheden en zwakke punten in deze mobiele apparaten. Bovendien zijn ze veel kwetsbaarder voor risico's omdat ze worden beheerd als een soort ‘zwarte doos’, waardoor het voor iemand anders dan de fabrikant zeer complex kan zijn het ontwerp, functionaliteit of code van de dsp-chip te beoordelen.

De chipproducent heeft de beveiligingslekken erkend en de relevante leveranciers op de hoogte gebracht door patches uit te geven. Het is nu aan de smartphonefabrikanten, zoals Google, Samsung en Xiaomi, om deze patches te integreren in hun volledige aanbod, zowel nieuwe toestellen in productie als toestellen die al verkocht zijn. 

Alles bij de bron; Computable


 

Bijna een derde van de cyberaanvallen die in 2019 door het Kaspersky Global Emergency Response-team werd onderzocht, gebeurde via legitieme instrumenten voor beheer en administratie op afstand. Hierdoor blijven aanvallers langer onopgemerkt.

Zo hadden continue cyberspionage-aanvallen en diefstal van vertrouwelijke gegevens een mediaanduur (de middelste waarde van de naar duur gesorteerde reeks van cyberaanvallen) van 122 dagen. Dit blijkt uit het 'Incident Response Analytics Report' van Kaspersky.

Cybercriminelen gebruikten de legitieme software om informatie over bedrijfsnetwerken te verzamelen en vervolgens laterale bewegingen uit te voeren, software- en hardware-instellingen te wijzigen of een of andere vorm van kwaadwillige actie uit te voeren, zoals het versleutelen van klantgegevens.

Aanvallers blijven via legitieme software makkelijker onder de radar van veiligheidsanalisten, omdat deze acties zowel deel kunnen uitmaken van een geplande cybercriminaliteit-activiteit als van een reguliere systeembeheerderstaak. Zo wordt de aanval vaak pas gedetecteerd nadat de schade is aangericht.

Alles bij de bron; Computable


 

De aanvallers die onlangs toegang tot de systemen van Twitter kregen wisten de benodigde inloggegevens via een telefonische phishingaanval te stelen, zo heeft de microbloggingdienst vanochtend in een update over het incident bekendgemaakt.

Bij de aanval kregen de aanvallers toegang tot de interne beheertools waarmee het mogelijk was om het e-mailadres van accounteigenaren te veranderen en tweefactorauthenticatie uit te schakelen. Op deze manier konden de aanvallers van tientallen geverifieerde accounts het wachtwoord resetten en zo de accounts overnemen. 

Zo konden de aanvallers via 45 overgenomen Twitteraccounts tweets versturen, werden van 36 accounts de privéberichten bekeken en van 7 accounts alle accountdata gedownload. 

Alles bij de bron; Security


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha