Mensen denken dat ze ‘hengel’trucs wel door hebben

Hengelen via mail of webMij pakken ze niet. Mensen denken dat ze trucs om ze geld af te troggelen zoals ‘hengelen’ wel door hebben. Dat valt vaak vies tegen, denken onderzoekers. Die overmoed is de reden dat mensen zo vaak het slachtoffer worden van die trucs, vermoeden ze. Daar valt wat aan te doen. Lees verder

Webaanvallers niets te duchten van de overheid

Kraker met capuchon achter computerIn het Verenigd Koninkrijk is een draconische wet op de inlichtingendiensten aangenomen, waarbij de staatsgluurders verregaande bevoegdheden krijgen. De huidige conservatieve regering van Theresa May doet stoer: we zullen die aanvallers en misdadigers mores leren. Volgens Paul Marks in het Britse blad New Scientist is daar weinig kans op. E-krakers, webcriminelen en andere webaanvallers hebben weinig te duchten van overheden, denkt hij. Lees verder

‘Succesvolle’ e-krakers in VS voor de rechter

XboxIn de VS staan vier mannen terecht die via internet hebben ingebroken bij fabrikanten van spellen, bij een Amerikaanse toeleverancier voor het Amerikaanse leger en bij Microsoft. Ze stalen daarbij programmatuur die, volgens het Amerikaanse ministerie van justitie meer dan $ 100 miljoen waard zou zijn (een dikke € 70 miljoen). Het viertal, in leeftijd variërend van 18 tot 28 jaar, zou bijzonder geavanceerde technieken hebben gebruikt voor hun digitale inbraken.
Lees verder

FBI blij met hulp informatici bij oprollen crimineel botnetwerk

een p2p-netwerk

Een grafische voorstelling van een netwerk van bijna 24 000 door Gameover besmette computers (afb: Dell SecureWorks)

Informatici van de Vrije universiteit en de uni van Saarland en van beveiligingsbedrijven, hebben op verzoek van de FBI, Europol en de Britse National Crime Agency een bijzonder listig in elkaar gestoken crimineel botnetwerk, ook wel botnet genoemd, gekraakt. De criminelen manipuleerden jarenlang honderduizenden computers, waarop ze neusden naar privé- en financiële gegevens. Ze sloten die computers ook aan op een netwerk, waarmee ze zooi verspreiden en ondernemingen afpersten. De webboeven waren technisch zo bedreven dat de opsporingsdiensten de hulp van derde in moesten roepen om de zaak te klaren. De FBI was zo blij met de hulp dat een aantal helpende informatici onlangs een oorkonde voor hun hulp heeft gekregen. Lees verder

Zwarte markt voor e-krakers groeit volgens Rand Corp

cybermisdaadDe markt voor e-krakers-gereedschap bloeit volop, volgens een rapport van het Amserikaanse bedrijf Rand Corp. Die zou een toenemend gevaar zijn voor bedrijven, overheden en loslopende individuen. Nog in december afgelopen jaar werden via het Amerikaanse winkelbedrijf Target de creditkaartgegevens van 40 miljoen klanten gestolen en 70 miljoen gebruikersprofielen werden gekaapt. Binnen een paar dagen waren die gegevens te koop via het wereldwijde web. Lees verder

NSA heeft overal ‘achterdeurtjes’

computerveiligheid Veiligheidsdiensten hebben op het wereldwijde web en in de telecom een infrastructuur opgebouwd, waarmee ze naar hartelust kunnen inbreken op groot aantal computer- en telecomsystemen. Dan gaat het niet alleen om netwerken, maar ook niet verbonden computers  zijn afluisterbaar via gegevensdragers of door het ‘beluisteren’ van toetsklikken. Dat de meldt de Duitse vereniging voor informatica, een organisatie van 20 000 informatici. Volgens de vereniging heeft de roemruchte Amerikaanse veiligheidsdienst NSA ‘achterdeurtjes’ in 80 000 strategische servers, die over de hele wereld verspreid zijn; zo 10 000 servers gemiddeld bij de acht G8-landen. Het zou daarbij gaan om systemen in alle essentiële hoeken van de samenleving: de energiesector, financiële wereld, telecomsector, voedingssector, media, chemische industrie enz. Lees verder

Het wereldwijde web is nogal lek

Internet is behoorlijk lek. Dat wisten we natuurlijk al, maar het wordt nog maar eens bevestigd door onderzoek van, onder meer, HD Moore. Volgens deze Amerikaanse veiligheidsexpert uit Austin (Texas), werkzaam voor Rapid7 liggen zo’n 100 000 servers onbeschermd, bijna naakt, in het wereldwijde web verknoopt. Zonder al te veel problemen is er op die servers in te breken en kan de inbreker doen wat ie wil: wissen, gegevens veranderen, wachtwoorden achterhalen of een achterdeur maken. De kwetsbaarheid zit ‘m in het zogeheten IMPI-protocol, gebruikt voor de afstandbediening van servers. HD Moore graasde met een penetratietester het web af en kwam zo tot zijn cijfer.

Bron: Wired

‘Hengelen’ in België groeit

‘Hengelen’ naar toegangscodes blijkt in België steeds populairder te worden, zo meldt De Standaard, al is de totale schade nogal bescheiden. Waren er in heel 2012 1003 gevallen, waarbij in het totaal € 3 miljoen werd buitgemaakt, het eerste kwartaal van dit jaar werden al 473 gevallen genoteerd, waarbij de totale buit € 1,27 bedroeg. Hengelen, ook wel phishing genoemd, is een tamelijk doorzichtige methode waarin het slachtoffer via een e-bericht wordt gevraagd op een (nep)stek van bank of andere financiële instelling in te loggen, om zo de inlogcodes te achterhalen.

Bron: De Standaard

Webkrakers hyperactief

Of ze vervelen zich de klere of er is wat anders aan de hand (alleen is dan onduidelijk wát): de aanval op Nederland is geopend, op cyber-Nederland. Nadat afgelopen week enkele banken, met als grootste slachtoffer de ING-bank, is getroffen door massa-aanvallen van webkrakers, lijkt nu De Telegraaf het slachtoffer te zijn van hackers, zo meldt het Parool. De Telegraaf was afgelopen zaterdag twee uur niet bereikbaar en heeft aangifte gedaan bij de politie. Overigens zouden de maaatregelen die de ING heeft getroffen tegen massaaanvallen succesvol zijn. Nieuwe aanvallen op de ING-stek zouden binnen 20 minuten (in plaats van uren voor eerdere aanvallen) zijn verholpen, zo meldt Trouw op 10 april j.l.
Massa-aanval op Nederlandse bankenOndertussen bericht dezelfde krant dat Belgische banken veel beter beschermd zouden zijn tegen cyberaanvallen dan de Nederlandse. Volgens de Belgische beveiligingsdeskundige Eddy Willems hebben in België de banken de informatie op verschillende servers gezet, waardoor een massawebaanval iets makkelijker te pareren is. Helemaal voorkomen kun je het niet, aldus de webdeskundige, omdat dat niet alleen afhangt van de infrastructuur en aanwezige beveiligingsfilters. “Het lijkt erop dat de aanval bij ING vooral werd veroorzaakt doordat heel veel machines op het zelfde moment inlogden op het internetbankieren-systeem. Daartegen kun je je echt heel moeilijk beveiligen.”, zei Willems in Het Parool. Toch loopt België wat Willems betreft wel voor op het gebied van internetbeveiliging. De kaartlezer die bij veel banken gebruikt moet worden bij internetbankieren is er al veel langer dan in Nederland en, volgens hem, daar ook net iets geavanceerder. De fraudecijfers met internetbankieren liggen er veel lager dan in Nederland: € 3 miljoen euro voor België tegen bijna € 35 miljoen in Nederland, aldus het Parool. Overigens moet hier wel bij worden opgemerkt dat de Belgische banken veel kleiner zijn dan de Nederlandse en dus minder aantrekkelijk voor webkrakers.

Bron: Parool; foto Parool

Ethische hackers VS achter tralies

Andrew Auernheimer, een ‘ethische hacker’, heeft in beroep een celstraf gekregen van 3,5 jaar te volgen door drie jaar ondertoezichtstelling. In november vorig was Auernheimer, in hackerskringen bekend als weev, al door een lagere rechtbank schuldig bevonden aan identiteitsdiefstal en ongeautoriseerde toegang tot een computer. Auernheimer had in 2010 samen met compaan Phil Spitler een lek in een webstek van AT&T gevonden, waardoor ze het elektronisch @dres en de unieke identificatiecode (het ICC-ID) van meer dan 100 000 iPad-bezitters verkregen, waaronder de burgemeester van New York Bloomberg, zo laat webblad Wired weten.
Etisch hacker Andrew Auernheimer Via die verbinding kregen de iPad-bezitters toegang tot internet via het 3G-netwerk van AT&T. Om toegang te krijgen moesten de iPadders persoonlijke gegevens invullen, zoals hun @dres. AT&T koppelde het @dres aan de ICC-ID en elke keer als de gebruiker de stek gebruikte en de ICC-ID werd herkend, werd het @dres getoond. Door ICC-ID te geven, kregen ze automatisch het bijbehorende @dres. De webkrakers schreven een script (iPad 3G Account Slurper) om normale internetcontacten met de stek na te bootsen en wisten zo de bijbehorende gegevens te achterhalen.
Zoals ethische krakers betaamt, melden ze hun bevindingen. Dat deden ze niet bij AT&T maar bij gawker.com. AT&T verweet de krakers niet eerst naar het bedrijf te zijn gestapt met hun ontdekking en uit te zijn op eigen roem en het beschadigen van de reputatie van AT&T. Spitler bekende eind vorig jaar schuld, maar weev, de bijnaam van Auernheimer, ging in beroep.
De webkrakers zijn veroordeeld op basis van een wet die computerfraude en -misbruik moet tegengaan. Beveiligingsdeskundigen in de VS vrezen dat die wet zich tegen mensen keert die zwakke plekken in het systeem willen blootleggen.

Bron: Wire