Cybercrime
- Gegevens
- Hoofdcategorie: Internet en Telecom
Criminelen hebben de creditcardgegevens van Nederlandse Intratuin-klanten gestolen door een hack bij de webshop van de winkelketen. De aanvallers vervingen de normale betaalpagina voor klanten die met een creditcard wilden afrekenen voor een eigen pagina.
Omdat het een pagina was om af te rekenen, kregen de aanvallers gegevens in handen zoals het creditcardnummer, naam, verloopdatum en ccv. Dat is genoeg om creditcards bij frauduleze betalingen elders op het internet te kunnen inzetten.
Het bedrijf heeft Autoriteit Persoonsgegevens op de hoogte gesteld van het datalek en getroffen klanten via mail op de hoogte gesteld. De creditcardmaatschappijen hebben ook al actie ondernomen naar aanleiding van de hack.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Onderzoekers hebben een variant van de beruchte Mirai-malware ontdekt die oudere D-Link-routers infecteert via twee bekende kwetsbaarheden waarvoor geen firmware-updates beschikbaar zijn. De betreffende routers worden namelijk niet meer door de fabrikant ondersteund.
De twee kwetsbaarheden, aangeduid als CVE-2022-26258 en CVE-2022-28958, zijn respectievelijk aanwezig in de DIR-820L en DIR-816L.
Beide kwetsbaarheden werden begin dit jaar geopenbaard. D-Link heeft echter geen firmware-updates uitgebracht. Aanvallers maken nu misbruik van de kwetsbaarheden om routers met de MooBot-malware te infecteren, zo meldt securitybedrijf Palo Alto Networks. Deze malware gebruikt besmette apparaten onder andere voor het uitvoeren van ddos-aanvallen. D-Link adviseert eigenaren van beide routers om die niet meer te gebruiken.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Interpol heeft een bende opgerold die slachtoffers met naaktvideo's en gestolen contactenlijsten afperste. Slachtoffers werden op onder andere datingsites en seksplatforms benaderd en kregen de vraag om een app voor "naked chats" te downloaden.
In werkelijkheid ging het om een malafide app waarmee de contactenlijst van de telefoon werd gestolen. Vervolgens dreigde de bende om naaktvideo's van slachtoffers onder vrienden en familie te verspreiden.
De afgelopen twee maanden zijn twaalf verdachten in deze zaak aangehouden. Interpol adviseert slachtoffers van afpersing om alle contact met de afpersers te verbreken, niet te betalen en aangifte bij de politie te doen.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
TikTok ontkent te zijn gehackt nadat een hackersgroep onthullende screenshots zou hebben gedeeld op een forum. Daarop zouden volgens de groep gegevens van gebruikers te zien zijn. Volgens het sociale medium is daar niets van waar.
Een woordvoerder van TikTok laat in een reactie aan The Verge weten dat het platform "geen bewijs heeft gevonden van een inbreuk op de beveiliging". Het bedrijf denkt niet dat gebruikers "veiligheidsmaatregelen moeten nemen".
Volgens Bleeping Computer zeggen de hackers de gegevens te hebben verkregen via een server die wordt gebruikt door TikTok. Ze beweren dat er meer dan 790 gigabyte aan gebruikersgegevens, platformstatistieken en broncodes op staat.
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
De politie heeft deze week drie verdachten opgepakt in verband met zogenoemde vriend-in-noodfraude via WhatsApp.
Bij vriend-in-noodfraude benaderen de oplichters een slachtoffer via WhatsApp en doen ze zich voor als een vriend of familielid. In het gesprek vraagt de oplichter snel om geld.
Slachtoffers boeken vervolgens geld over in de veronderstelling dat zij een vriend of familielid helpen, terwijl het geld in werkelijkheid wordt overgeboekt naar een rekening van een zogenoemde geldezel. Dit zijn mensen die hun bankrekening beschikbaar stellen aan criminelen, vaak tegen een kleine vergoeding.
Volgens de politie waren de drie verdachten landelijk actief. Naar schatting hebben ze met de fraude minimaal 100.000 euro buitgemaakt, al is dat nog "een voorlopige en voorzichtige schatting".
Alles bij de bron; NU
- Gegevens
- Hoofdcategorie: Internet en Telecom
De criminelen die wisten in te breken op systemen van energiedienstverlener ista hebben de gegevens van 146.000 mensen die ze daar buitmaakten op internet gepubliceerd. Ista verzorgt voor woningcorporaties de plaatsing van energie- en watermeters, de registratie van de meterstanden, het onderhoud van de meters en het maken van de individuele afrekeningen.
De data is afkomstig uit een archiefbestand en betreft informatie van de jaren 2006 tot en met 2012. De Duitse tak van het bedrijf zegt dat het getroffen personen gaat waarschuwen. Er zijn geen persoonsgegevens van ista Nederland buitgemaakt. "De onderzoeken zijn nu afgerond en we kunnen uitsluiten dat het gaat om persoonsgegevens die wij namens onze klanten verwerken", aldus de organisatie.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Er circuleert momenteel een malafide e-mail die zogenaamd uit naam van DigiD is verstuurd. In werkelijkheid is het een phishingbericht waarmee de ‘DigiD Helpdesk’ probeert je persoonlijke gegevens te verzamelen. Mocht je deze e-mail in je inbox ontvangen: trap er niet in en meldt het bij de Fraudehelpdesk.
In de onderwerpregel staat ‘Toegankelijkheid van DigiD’. De mail is verstuurd door de DigiD Helpdesk. De e-mail bevat naast het logo van DigiD ook het blauwgekleurde logo van de Rijksoverheid.
Het nepbericht van de internetcriminelen is kort en krachtig. “Geachte heer/mevrouw, Vanwege de vernieuwde wet- en regelgeving eisen van de Algemene Gegevensbescherming (bekend als de AVG) vragen wij u om zich opnieuw te identificeren. Alvast bedankt voor uw medewerking.”
Tot slot bevat het bericht een oranje knop met de tekst ‘Opnieuw identificeren’. Deze stuurt bezoekers door naar een phishingpagina. Dat is een neppagina waarmee hackers en cybercriminelen proberen om zo veel mogelijk persoonlijke en vertrouwelijke gegevens te verzamelen, zoals inloggegevens of bankrekeningnummers.
De afzender bestaat weliswaar, maar het is goed om te benadrukken dat het om een malafide boodschap gaat. Het gaat hier om een nepbericht. Dat is aan verschillende kleine dingen te zien.
Om te beginnen verstuurt DigiD nooit e-mails met daarin URL’s. Verder gebruikt DigiD nooit de aanhef ‘Geachte heer/mevrouw’. Ook de inhoud verklapt dat de e-mail is opgesteld door oplichters die niet bekend zijn met het juiste jargon. De ‘Algemene Gegevensbescherming’ bestaat niet: ze bedoelen hoogstwaarschijnlijk de Algemene Verordening Gegevensbescherming, de Europese privacywet- en regelgeving.
Het is niet de eerste keer dat er een phishingmail van DigiD rondgaat. Afgelopen maand zagen we ook al een nepmail uit naam van DigiD verschijnen. Toen probeerden oplichters ontvangers te misleiden door te zeggen dat hun persoonsgegevens onvolledig waren ingediend.
Alles bij de bron; VPN-Gids
- Gegevens
- Hoofdcategorie: Internet en Telecom
Bij een ransomware-aanval op de Belgische gemeente Maldegem zijn de persoonsgegevens van twaalfduizend mensen gestolen die bijstand ontvangen of ontvingen. Ook werden bestanden op het gemeentenetwerk versleuteld. De aanvallers eisten 200.000 euro losgeld, dat de gemeente niet heeft betaald. De gestolen persoonsgegevens zijn inmiddels door de aanvallers online gezet.
"De hackers hebben de database van het vroegere OCMW bemachtigd. Dat is vervelend want het gaat over kwetsbare mensen en een kwetsbare doelgroep", zegt waarnemend directeur van de gemeente Maldegem Koen Cromheecke. Volgens Cromheecke zijn er geen mensen in gevaar. "We kunnen niet zeggen hoe je aan de gegevens geraakt, want dat zou het voor die mensen nog erger maken. Je moet al deskundige zijn en specifieke computerprogramma's hebben om aan de gegevens te geraken."
De gestolen data werd onlangs online gezet. "Pas nu hebben we een zicht op de omvang van de diefstal. Omdat het over zoveel mensen gaat, is het onmogelijk om ze individueel te benaderen. We hebben wel een callcenter op poten gezet dat iedereen met vragen kan helpen. Zij houden sowieso een identiteitscontrole, zodat niemand met de gegevens van iemand anders kan gaan lopen", laat Cromheecke verder weten.
Alles bij de bron; Security
- Gegevens
- Hoofdcategorie: Internet en Telecom
Criminelen hebben toegang gehad tot de telefoonnummers van 1900 Signal-gebruikers. Van een deel van deze gebruikers is ook de sms-verificatiecode ingezien. Bij zeker één gebruiker is het account daardoor overgenomen.
Aanvallers kregen op 4 augustus toegang tot Twilio's klantenserviceconsole. Twilio verzorgt telefoonnummerverificatiediensten aan Signal, waardoor de aanvallers ook toegang hadden tot Signal-gegevens. De criminelen konden de gegevens van ongeveer 1900 gebruikers inzien. Daarbij konden ze alleen telefoonnummers van gebruikers zien en van een deel ook de sms-verificatiecode.
De criminelen zochten bij hun aanval naar de telefoonnummers van drie specifieke gebruikers. Van een van deze gebruikers is het account daadwerkelijk geregistreerd naar een nieuw apparaat.
Het account van deze gebruiker is dus overgenomen, maar Signal benadrukt dat bij deze gebruiker en bij andere gebruikers gesprekken, profielinformatie en contactlijsten niet zijn ingezien. Daarvoor is de Signal PIN vereist, een pincode die niet was gestolen bij deze aanval. De criminelen konden wel berichten sturen en ontvangen met dat Signal-account.
Alles bij de bron; Tweakers
- Gegevens
- Hoofdcategorie: Internet en Telecom
Een Australische man die wordt verdacht van betrokkenheid bij een grootschalige sms-phishingaanval is onder andere aangeklaagd voor het niet verstrekken van zijn encryptie-wachtwoord dat toegang tot zijn versleutelde computer geeft. Iets waarop een maximale gevangenisstraf van tien staat jaar. Dat laat de Australische politie weten.
Volgens de Australische politie werden de sms-berichten via een simbox verstuurd die vanuit de woning van de dertigjarige man en andere locaties werd bediend. Een simbox is een apparaat dat honderden simkaarten kan bevatten en honderdduizenden sms-berichten per dag kan versturen.
Bij een doorzoeking van de woning van de 30-jarige man werd 20.000 dollar in beslag genomen, alsmede opslagapparaten met meer dan vijfhonderd frauduleuze identiteitsdocumenten met namen van meerdere slachtoffers.
De Australische politie laat in de aankondiging van de aanhouding weten dat er ook meerdere telefoons en een versleutelde desktopcomputer in beslag zijn genomen. De man is voor zeven misdrijven aangeklaagd, waaronder het niet geven van zijn wachtwoord om toegang tot het versleutelde systeem te krijgen. De Australische autoriteiten kunnen een verdachte bevelen om zijn encryptiesleutels of wachtwoord af te staan. Op het niet verstrekken van de inloggegevens staat een maximale gevangenisstraf van tien jaar.
Alles bij de bron; Security