Poker op Facebook

ESET heeft op Facebook de Trojan Poker Agent aangetroffen.

Deze bedreiging kwam hoofdzakelijk voor op machines in Israël. Het doel van de Trojan was het buitmaken van de logingegevens van slachtoffers en het aantal betalingsmiddelen welke zijn verbonden aan het Facebook account.

Er zijn meer dan 16.000 logingegevens gekaapt, daarnaast is ook de chiphoeveelheid binnen de Zynga Texas HoldEm app mee buitgemaakt. Het is nu maar de vraag wat de aanvaller met deze gegevens wil doen.

Veel goeds kan het in ieder geval niet zijn.

De glazen bol 2013

Het sneeuwt weer in Nederland, en dat veroorzaakt zoals altijd weer problemen. Wat ook terug komt rond deze tijd van het jaar is de vraag "Welke bedreigingen verwacht je volgend jaar?"

We beschikken hier niet over een glazen bol, maar we kunnen uiteraard wel een voorspelling doen van wat ons te wachten staat in het komende jaar (Als we 21-12-2012 overleven) wat bedreigingen op het internet betreft.

• We zullen meer meldingen in het nieuws krijgen wat mobiele threats betreft. De grenzen tussen laptop, tablet en mobiele telefoon vervagen, en dit zal het nodige dataverlies veroorzaken. Platformen zoals Android veroorzaken issues in combinatie met malware. De Apple en Microsoft equivalenten pretenderen "veilig" te zijn en juist door deze illusie zullen problemen als verlies en diefstal van deze apparaten zorgen voor schade.

• Spear phishing, een meer gefocuste vorm van phishing waarbij op een specifiek doel wordt gemikt, in plaats van de massa. Denk hierbij aan het ontfutselen van alle gegevens van de eigenaar van een bedrijf via de secretaresse, zodat de phisher zich bij een andere contactpersoon kan voordoen als de eigenaar van bedrijf X.

• "Lekkage" bij bekende namen zal vaker voorkomen. Er is in het afgelopen jaar gebleken dat er genoeg bedrijven zijn welke de beveiliging of bedrijfspolicies niet goed genoeg op orde hebben om het lekken van confidentiële data tegen te gaan. 

• Meer infecties en aanvallen zullen hun begin zien op sociale media. Mensen zijn snel om de tuin geleid, en dat kan voor de aanvaller betekenen dat deze toegang krijgt tot kritieke systemen van een gebruiker, of erger, dat de prive wachtwoorden overeenkomen met gegevens welke ook op het werk worden gebruikt.. De gevolgen hiervan kunnen desastreus zijn voor een bedrijf.

• Door het gebruik van vele clouddiensten wordt er steeds meer belangrijke informatie van klanten bij een 3e partij ondergebracht. Vaak zal dit een datacenter zijn, welke hierdoor eigenlijk een soort schatkamer zijn met alle kostbare data van meerdere klanten. De pijlen van internetcriminelen zouden zich zomaar kunnen gaan richten op deze doelen. 

De hierboven genoemde punten zijn uiteraard slechts het topje van de ijsberg, en geven slechts een kleine indicatie van wat ons te wachten staat. Desalniettemin hoop ik dat iedereen zich realiseert dat een goede beveiligingsoplossing slechts het begin is, en dat er ook gekeken dient te worden HOE er met gegevens (Zowel zakelijk als privé) moet worden omgesprongen.

Waar hebben we mee te maken?! Dorifel/Quervar?

Wederom een grote virusuitbraak in Nederland. Het virus wat in de media Dorifel wordt genoemd(ESET markeert dit als Quervar) heeft al voor veel ophef gezorgd. 

Wat begon als een aantal infecties bij gemeentes, was een dag later bij vele instanties een doorn in het oog. Het virus infecteerde Word en Excel bestanden welke vervolgens niet correct meer te openen waren, en wanneer dit toch werd geprobeerd verspreide het virus zich naar andere documenten. 

Het rare aan de infectie is dat er niet om geld wordt gevraagd om de bestanden wederom leesbaar te maken, en na verdere analyse ook blijkt dat de gebruikte encryptie eenvoudig te kraken is.

Waar in eerste instantie minder aandacht aan werd besteed is de manier HOE de infectie zich op het netwerk heeft kunnen binnendringen. 

In het sample wat wij hebben ontvangen viel direct op dat er niet alleen een detectie was voor Quervar..

Dit lijkt sterk op een Botnet infectie(In de media wordt er gerefereerd naar het Citadel botnet), welke het virus dus naar binnen heeft gehengeld. Grote kans dus, dat deze netwerken reeds geïnfecteerd zijn geweest, en mogelijk zelfs als onderdeel van een botnet hebben gefungeerd, met alle gevolgen van dien.

Er lijkt inmiddels ook andere malware(Een variant van de Hermes trojan) via hetzelfde botnet te verspreiden, dus de mogelijkheid van andere infecties is absoluut aanwezig. 

We raden iedereen aan om alle systemen binnen het netwerk volledig te scannen met een up-to-date virusscanner, en mochten er nog bestanden zijn welke niet te openen zijn, kunnen deze met de volgende tool wederom toegankelijk gemaakt worden.

Cyberoorlog, is het begonnen?

Wellicht heeft u het nieuws gelezen of ergens op TV langs zien komen.  Stuxnet, het virus wat 2 jaar geleden opdook en vele beveiligingsexperts sterk verraste in zijn complexiteit en professionaliteit in de broncode en uitvoering daarvan, is gemaakt in opdracht van de Verenigde Staten in samenwerking met Israël.

Dat er spionage plaatsvind tussen landen is al jaren bekent, echter een heuse “aanval” op infrastructuur waar geen tanks, soldaten en ander grof geschut aan te pas komt, maar toch schade aanricht is op deze manier een “World first”.

Het is wellicht een storm in een glas water, maar als de VS deze acties gaat uitvoeren, hoever zijn we dan verwijdert van totale cyberoorlog, waar wordt geprobeerd om hele landen te ontregelen, of erger, waar de militaire kracht van een land tegen zichzelf wordt gebruikt... 

Is er dan nog iemand veilig?

Soap? SOPA, Don't let this happen!

Facebook en Timeline... foute combinatie?

Als je gebruik maakt van Facebook heb je er vast al iets over gehoord, Timeline, een “nieuwe” feature welke de standaard profiel pagina van Facebook gaat vervangen. Als nieuwe gebruiker van Timeline kan dit heel verwarrend zijn.  Deze verwarring kan je er toe leiden dat je doelwit wordt van verschillende Timeline gerelateerde scams.

Er komt een dag dat elke Facebook gebruiker Timeline zal moeten gebruiken.  Ik vermoed dat de verwarring op die dag als een soort sneeuwbal effect zal verspreiden, omdat er veel mensen zullen zijn die Timeline niet leuk vinden, en zich dus afvragen:  Kan ik Timeline verwijderen? De scammers en click-jackers zijn zich aan het voorbereiden op die dag, en bieden pagina’s aan welke beloven Timeline te verwijderen. Tot op heden zijn er al verschillende voorbeelden van dit soort scams te vinden.

Zie het voorbeeld hiernaast, een pagina waarin je wordt gevraagd de “Like” knop te gebruiken voordat je verder kunt. Sterker nog, de gehele pagina gaat over het “Liken” en één van de stappen welke genomen dient te worden om je Timeline zogenaamd uit te schakelen, zijn 45 “Like” knoppen in een venster waarop geklikt dient te worden.  Na een aantal stappen, waaronder het uitnodigen van al je vrienden om de pagina ook te “Liken” krijg je de volgende melding: “Wait For Few Days Your Request Will be forwarded To The Timeline Office” (Dit is de originele verwoording)

Tot dusver is Facebook er in ieder geval niet in geslaagd om deze scams een halt toe te roepen, en blijft melden dat de functie niet te verwijderen is. Ook is Facebook zeker niet van plan om de functie optioneel te maken, voor haar gebruikers, wat doet vermoeden dat Facebook niet het beste voor heeft met haar gebruikers. Waarom laten ze de wildgroei van dit soort rotzooi toe? Is Facebook echt alleen geïnteresseerd in het verzamelen van data van zoveel mogelijk gebruikers?

Tenzij Facebook terug komt op het besluit, en Timeline optioneel maakt, dient iedereen er in ieder geval mee te leren leven, en niet op zoek gaan en klikken op links welke beloven Timeline uit te schakelen  of verwijderen; het is het risico simpelweg niet waard.

Waar bemoeien ze zich mee!

Overheden lijken zich steeds meer te willen bemoeien met al onze online activiteiten. Dit gaat soms zo ver dat we onze mening ook niet meer met anderen mogen delen wanneer dit over de gang van zaken bij verkiezingen gaat.

Zo ook in Rusland, waar vele jongeren zich via twitter negatief uitlieten(En dit nog steeds doen) over de verkiezingsuitslagen. De ingezette hashtags werden door een aantal zogenaamde twitter bots volledig weggedrukt zodat er onderling slecht te communiceren was. Er is een groot vermoeden dat deze bots zijn aangestuurd door de overheid.

Het bovenstaande lijkt in grote lijnen op wat er eerder dit jaar in verschillende Arabische landen plaats heeft gevonden. Waar de overheid probeert publieke opinie de kop in te drukken door zeer drastische maatregelen te nemen, zoals het “uitzetten” van het internet om demonstraties te voorkomen, en zo de macht in handen te kunnen houden. Ook dit heeft demonstranten er niet van kunnen weerhouden om de regering de laan te wijzen in bijvoorbeeld Egypte en andere Arabische landen.

Een ander voorstel, in de VS. de SOPA, (Stop Online Piracy Act) waarin wordt voorgesteld dat de regering de toegang naar websites(voor Amerikanen) kan blokkeren als het vind dat er inbreuk wordt gemaakt op bijvoorbeeld auteursrechten. Er is een hoop weerstand tegen dit voorstel vanuit de industrie (Om een paar grote namen te noemen, Facebook, Google, Twitter, Wikipedia etc.) Deze partijen zijn onder andere bang dat deze “act” ten kosten gaat van de vrijheid van meningsuiting, het kunnen leveren van een goede online dienst en dat gebruikers niet meer in staat zijn hun eigen content te uploaden.

Hoe het gaat aflopen met de SOPA is nog niet bekend, maar er zijn sterke tegenargumenten vanuit verschillende partijen genoemd. Laten we hopen dat deze doorslaggevend zullen zijn in het besluit om het voorstel te verwerpen.

Het internet is voor iedereen, niet alleen voor de regering om te bepalen wat wel en niet mag!