Natuurlijk is bij Rootsec de afgelopen week ook veel gesproken over het corona virus dat ons land teistert. Als we de doemdenkers (ongeveer elk bericht op social media) mogen geloven dan zitten we aan het einde van deze maand en masse aan de bloembollen. Iedereen is in rep en roer en overal neemt men maatregelen om maar te voorkomen dat hij of zij het volgende slachtoffer van dit virus wordt. Heel vervelend allemaal, zonder twijfel. En toch kunnen we het dan niet laten om een vergelijking te trekken. Want wanneer een grote organisatie wordt getroffen door een flinke malware aanval begint nagenoeg niemand harder te rennen. Maar wanneer er uit China een virus overwaait worden de toiletrollen en zeep per vrachtwagen bij de consument afgeleverd. En wij begrijpen dat het hier om gezondheid gaat en dat is het allerbelangrijkste, maar het verschil is te groot. Veel te vaak worden er berichten, ook vanuit ons, gedeeld over de gevolgen van het niet updaten of het niet informeren van werknemers. En dat advies wordt in de wind geslagen alsof men zichzelf ondoordringbaar acht. Totdat de desbetreffende organisatie failliet gaat omdat een aanvaller zonder moeite binnenkwam omdat er geen updates waren uitgevoerd, en nu alle bestanden heeft gegijzeld. Pas dan wordt er gezegd “ja misschien hadden we toch..”. Dus laat ik dit zeggen tot besluit. Wees veilig en luister naar het advies van het RIVM betreffende het corona virus, maar besef ook dat een digitaal virus grote gevolgen kan hebben. Voor een bedrijf maar ook voor u, als mens. Tot zover dit pleidooi. En om het bovenstaande betoog te versterken kijken we deze week naar nieuwe en ingenieuze manieren waarop aanvallers uw systeem proberen binnen te komen (afpersing door naaktfoto’s) en gaan we het hebben over gezichtsherkenning. Mag dat nou eigenlijk?
We openen deze blog met twee nieuwe manieren waarop afpersers proberen uw systeem binnen te komen. We beginnen met een tweeledige aanval waarbij naaktfoto’s centraal staan. De afgelopen jaren hebben cybercriminelen namelijk op grote schaal afpersingsmails verstuurd. En pas nu wordt er van deze berichten gebruikgemaakt om malware te verspreiden. De afpersingsmails informeerde de ontvanger dat er comprimerende foto’s van hem of haar waren gemaakt en dat hij/zij een bedrag moest betalen om te voorkomen dat deze naar contacten werden gestuurd. Deze tactiek kennen we, afpersing door naaktfoto’s, en is niet blog-waardig. Echter, daar bleef het niet bij. Er is nu namelijk een spamcampagne ontdekt waarbij criminelen claimen dat een dergelijk afpersingsslachtoffer (dus slachtoffer van bovenstaande poging tot afpersing) niet heeft betaald en dat de ontvanger daarom deze e-mail ontvangt met de comprimerende naaktfoto’s. De ontvanger van het bericht zou dus een van de contacten zijn van het slachtoffer. Dit is uiteraard niet het geval. Maar wat ze doen is slim te noemen, helaas. Want wanneer u of ik een e-mail ontvang waarin ik een slachtoffer ben dan gaan meteen alle alarmbellen rinkelen. Echter, wanneer u een e-mail ontvangt onder het mom van “je vriend(in) wou niet betalen dus check hier zijn of haar naaktfoto’s”, dan ben jij niet het slachtoffer. En vervolgens ga je onvoorzichtiger handelen. Ook omdat iedereen, ja u ook, nieuwsgierig is naar deze naaktfoto’s. Dat zit in het aard van het beestje. Nu op het moment dat u het doc-bestand opent en de benodigde macro’s inschakelt wordt de Racoon-malware geïnstalleerd. Deze malware steelt wachtwoorden, creditcardgegevens, cookies en surfgeschiedenis uit browsers. Daarnaast steelt Racoon cryptowallets, inloggegevens voor ftp-servers en e-mailwachtwoorden. Kortom, je bent dan alles kwijt. Het volledige onderzoek, uitgevoerd door IBM, vindt u hier.
En dan blijven we nog even in de phishing-sfeer. Dit geval is iets minder creatief en ingenieus, maar het toont wel aan dat aanvallers echt alles zullen aangrijpen om u maar te verleiden om te klikken op dat geïnfecteerde linkje of bestand. Onderzoekers hebben namelijk een nieuwe aanvalscampagne ontdekt waarbij criminelen zogenaamde resultaten van een hiv-test gebruiken om malware te verspreiden. De aanval begint met een e-mail die van een Amerikaans medisch centrum afkomstig lijkt en als onderwerp “Test result of medical analysis” heeft. De bijlage in de e-mail is een “xlsb” bestand, ook wel “Excel Binary Workbook”. Wanneer de bijlage wordt geopend dient er, net als in het geval hierboven, een macro uitgevoerd te worden. Indien de gebruiker dit doet dan wordt de Koadic-malware geïnstalleerd waarmee aanvallers de volledige controle over het systeem krijgen. Waar dit natuurlijk al redelijk ver gaat, is er ook opgemerkt door Security-bedrijf Proofpoint, dat ook het corona virus inmiddels wordt gebruikt als lokaas. In deze e-mails wordt verwezen naar een bijlage met bijvoorbeeld instructies hoe om te gaan met het corona virus. Deze worden zoveel mogelijk uit naam gestuurd van bestaande medische instituten om zo de slagingskans te verhogen. Zoals dat in Engeland gebeurde uit naam van de Britse gezondheidsorganisatie Public Health England. Maar goed, als u geen reden heeft om te geloven dat u een geslachtsziekte heeft en u ook weet hoe u uw handen moet wassen, dan zouden wij willen aanraden deze e-mails niet te openen.
En dan tot slot tonen wij graag even het contrast waarmee wij te maken hebben op deze wereld wanneer het aankomt op privacy en informatiebeveiliging. Afgelopen woensdag bereikte ons het nieuws dat een Jumbo-supermarkt in Alphen aan de Rijn de camera’s met gezichtsherkenning heeft uitgeschakeld. Waarom? Omdat het niet duidelijk is of dit nou wel of niet mag binnen de privacywetgeving. De supermarkt gebruikte tientallen camera’s om klanten in de gaten te houden en hun gezichten te scannen. Het Jumbo-filiaal zette de gezichtsherkenning naar eigen zeggen in tegen winkeldieven. Lijkt ons een prima manier om die dingen te gebruiken. Tevens vinden we het ook logisch dat het filiaal van de supermarkt heeft gezegd, “joh, laten we eerst eens even afwachten of dit überhaupt mag”. Dan gaan we door naar de VS. Hier heeft de Amerikaanse burgerrechtenbeweging ACLU namelijk de gehele Amerikaanse overheid aangeklaagd voor het gebruik van gezichtsherkenningtechnologie op vliegvelden. De reden voor de aanklacht is vrij duidelijk. Niemand heeft nou echt een idee wat de Amerikaanse overheid precies doet met de ingewonnen informatie via deze technologie. De advocaat van ACLU verwoord het als volgt:
“In tegenstelling tot andere vormen van identificatie, kan gezichtsherkenningstechnologie niet te detecteren, persistente overheidssurveillance op een gigantische schaal mogelijk maken”,
In hoeverre dit daadwerkelijk resultaat gaat opleveren, dat is afwachten, maar het moge duidelijk zijn dat de Amerikaanse overheid weinig moeite heeft met het schenden van burger- en privacyrechten. Maar het kan natuurlijk altijd nog een stapje zorgwekkender. En daarvoor moeten we naar China. In China is gezichtsherkenning inmiddels redelijk “normaal”. Hier heeft de burger overigens bijzonder weinig inspraak in gehad. Maar in tijden van corona-crisis is er natuurlijk meer nodig. En daar heeft dit Chinese bedrijf een oplossing op bedacht. Zij claimen namelijk dat het gezichtsherkenningstechnologie heeft ontwikkeld die ook mensen met een masker kan identificeren.Want stel je voor dat je voor een paar minuten of uren niet weet waar persoon ‘x’ is omdat hij of zij een masker draagt. Ernstige zaak. Maar, u voelt het aankomen, hier stopt het niet. Het systeem kan namelijk ook nog eens op een temperatuursensor worden aangesloten, zodat het kan zien of mensen een verhoogde temperatuur hebben. De Chinese overheid weet dus eerder of je misschien koorts hebt dan jijzelf. En wat gebeurt er wanneer je op straat loopt en je hebt verhoging? Komt er dan een wit busje aangereden met mannen in eveneens witte pakken en word je zonder pardon afgevoerd? Of is dit gewoon een volgende stap op het hebben van absoluut nul privacy in China. Wij zijn er in ieder geval geen voorstander van. Want zoals altijd, alles dat aangesloten is op het internet kan misbruikt worden.