Virussen en phishing
(Een late reactie op een discussie tussen @EllyvA en @ximaar eindigend met https://mastodon.nl/@EllyvA/114064535418745561).
Computervirussen, in de zin van malware (malicious software) die zichzelf verspreidt, zie ik nauwelijks nog - omdat mensen geen floppies meer gebruiken om gegevens uit te wisselen.
Cybercriminelen gebruiken nu vooral social engineering om mensen te bestelen, of om aan vertrouwelijke gegevens te komen waarmee zij vervolgens mensen overtuigen dat zij een betrouwbare partij zijn.
Als zij malware maken bestaat de kwaadaardige component uit een programma (of script in het een of andere document) dat zij bij elke verspreiding wijzigen, en eerst testen op alle gangbare virusscanners (waardoor de meeste scanners aanvankelijk kansloos zijn).
In een steeds groter deel van de gevallen maakt malware misbruik van standaard onder Windows geïnstalleerde software ("lolbins" - Living Of the Land binaries) of installeert een legitieme driver waarmee verhoogde rechten (administrator privileges) worden verkregen.
Ook zeer populair zijn RAT's, Remote Access Tools zoals Teamviewer en Anydesk (steeds vaker misbruikt ook op Android en iPhones). Mensen wordt vaak voorgelogen dat zij een virusscanner zouden moeten installeren - en dat is dus zo'n RAT, zie https://infosec.exchange/@ErikvanStraten/113987804370380156.
En inderdaad is phishing een gigantisch probleem - waar virusscanners nauwelijks of niet tegen helpen, omdat criminelen steeds nieuwe domeinnamen gebruiken (vb: https://security.nl/posting/879531) voor hun websites, en vaak captcha's inzetten waar virusscanners niet "doorheen komen".
Het komt ook voor dat automatisch door browsers verzonden gegevens, en/of IP-adressen, en/of tijdstip van de dag vaak aan specifieke criteria moeten voldoen wil de kwaadaardige versie van een website worden getoond (zie screenshot, druk Alt voor meer info).
Het beste dat je kunt doen, na het openen van een webpagina, is niet op de inhoud letten maar op de DOMEINNAAM (in de adresbalk van de browser). Voor veel te veel mensen is het echter (nagenoeg) onmogelijk om vast te stellen dat een gegeven domeinnaam *niet* van de gesuggereerde organisatie is - en hier bestaat helaas geen SIMPEL en betrouwbaar recept voor.
![Screenshot van een website met de domeinnaam ([ en ] heb ik tussengevoegd):
facebook-com-photos.fanclub[.]rocks
Ofwel deze domeinnaam is te huur bij een "domain name parking service", ofwel ik kreeg met mijn browser iets anders te zien dan de doelgroep van cybercriminelen.
Te zien is een scherm met drie blauwe balken, waarvan twee geheel zichtbaar, met in die twee resp. de teksten:
Her Weight Loss
Smart Plastic Surgery
"Achter" dat soort links zitten lijsten met advertenties die naar kwaadwillende sites kunnen wijzen.](https://media.infosec.exchange/infosec.exchange/media_attachments/files/114/312/801/412/266/206/original/452541fce39de695.jpeg "Screenshot van een website met de domeinnaam ([ en ] heb ik tussengevoegd):
facebook-com-photos.fanclub[.]rocks
Ofwel deze domeinnaam is te huur bij een \"domain name parking service\", ofwel ik kreeg met mijn browser iets anders te zien dan de doelgroep van cybercriminelen.
Te zien is een scherm met drie blauwe balken, waarvan twee geheel zichtbaar, met in die twee resp. de teksten:
Her Weight Loss
Smart Plastic Surgery
\"Achter\" dat soort links zitten lijsten met advertenties die naar kwaadwillende sites kunnen wijzen.")
Drop your tips below!
Live-Einblicke in reale Angriffsszenarien
Sprecher: Hagen Molzer, Leitender Berater bei cirosec und Projektleiter unseres Red-Team-Assessments.
