Securityspecialist Brian Krebs adviseert Apple-gebruikers om op te passen met 'AirTags' die ze op straat vinden. Met de ingebouwde NFC-chip in iPhones kunnen eerlijke vinders achterhalen wie de eigenaar van de verloren AirTag is. Hackers en cybercriminelen kunnen deze feature misbruiken om nietsvermoedende slachtoffers om te leiden naar een phishing-pagina.
Apple Air Tag
In april van dit jaar onthulde Apple haar nieuwste accessoire: de AirTag. Het is een klein, rond apparaatje dat je helpt om kwijtgeraakte spullen terug te vinden. Gebruikers bevestigen een AirTag aan spullen waar ze waarde aan hechten, zoals een rugzak, handtas of sleutelbos. Met het wereldwijd ‘Zoek mijn’-netwerk vinden ze hun verloren spullen weer terug. Men ziet dus in een oogopslag of een iPhone bijvoorbeeld nog in de sportschool of elders ligt.
Wie een AirTag kwijtraakt, moet de verloren modus inschakelen. Apple maakt dan een speciaal gegenereerde URL aan om deze specifieke AirTag te identificeren. Iemand die er een op straat vindt, kan met behulp van de NFC-chip in zijn iPhone informatie opvragen over de eigenaar en hem teruggeven.
Phishing en malware
Bij de laatste stap is het mogelijk om mensen op te lichten, zo schrijft Brian Krebs. Normaal gesproken verschijnen het telefoonnummer en aanvullende informatie in beeld zodra je een gevonden AirTag scant. De beveiligingsspecialist zegt dat oplichters een computercode kunnen invoeren die hen doorstuurt naar een nagemaakte Apple iCloud login pagina.
Doorgewinterde Apple-veteranen weten dat je niet hoeft in te loggen als je een gevonden AirTag scant met NFC-chip. Minder fervente gebruikers beseffen dat mogelijk niet en voeren zodoende hun inloggegevens in. Zonder dat ze er erg in hebben verstrekken ze hun gebruikersnaam en wachtwoord aan hackers. Deze vorm van oplichting, waarbij cybercriminelen zoveel mogelijk persoonlijke informatie van slachtoffers proberen buit te maken, noemen we phishing.
Phishing is niet het enige gevaar dat eerlijke vinders lopen. Hackers kunnen tevens een poging doen om malware te installeren bij hun slachtoffers, zoals een keylogger, spyware of fleeceware. Daarmee is het mogelijk om wachtwoorden van online diensten te stelen, online activiteiten in de gaten te houden of slachtoffers dure abonnementen aan te smeren.
Weaponized AirTag
Krebs zegt dat beveiligingsconsulent Bobby Rauch de kwetsbaarheid ontdekte. In juni nam hij contact op met Apple om ze bij te praten over deze ‘weaponized AirTag’. Drie maanden lang hoorde hij niets van het Amerikaanse technologiebedrijf: hij moest genoegen nemen met de mededeling dat medewerkers de kwestie onderzochten.
Afgelopen week kreeg Rauch het bericht dat Apple binnenkort een update uitrolt om het lek te dichten. Het bedrijf vroeg of hij in de tussentijd de kwetsbaarheid voor zich wilde houden en er niet publiekelijk over wilde praten of schrijven. Dat schoot hem in het verkeerde keelgat. Apple weigerde namelijk om antwoord te geven op verschillende vragen. Zo wilde Rauch weten of Apple hem de eer zou geven voor de ontdekking van het lek, en of hij aanspraak kon doen op een beloning uit het Apple Bug Bounty programma.
Uit onvrede over de wijze waarop Apple communiceert met mensen die een ernstige kwetsbaarheid aan de kaak stellen, besloot Rauch om zijn bevindingen te publiceren op Medium. “Ik heb ze gezegd: ‘Ik ben bereid met jullie samen te werken als jullie wat details kunnen geven over wanneer jullie van plan zijn dit te verhelpen, en of er een erkenning of uitbetaling zou plaatsvinden”, zo vertelt de beveiligingsconsulent aan Brian Krebs. Hij gaf Apple negentig dagen de tijd om te reageren voordat hij zijn bevindingen zou publiceren. “Hun antwoord was in feite: ‘We zouden het op prijs stellen als je dit niet zou lekken’.”
Ontwikkelaars en security experts
Volgens Krebs klagen meerdere ontwikkelaars en security experts dat Apple niet goed met hun omgaat als ze een lek bij het bedrijf melden. Eén van de klachten is dat de iPhone-maker teveel tijd nodig heeft om kwetsbaarheden te patchen. Andere veelgehoorde klachten zijn dat Apple lang niet altijd de eer toekent aan de ontdekker, vaak weigert om te betalen en dat onderzoekers vaak geen feedback krijgen van Apple.
Krebs wijst erop dat dit een gevaarlijke ontwikkeling is. “Het risico is natuurlijk dat sommige onderzoekers besluiten dat het minder moeite kost om hun exploits te verkopen aan hackers of aan de hoogste bieder op het dark web, die beide vaak veel meer betalen dan de prijzen voor Apples Bug Bounty programma.” Een andere optie is dat gefrustreerde security onderzoekers hun bevindingen gewoon online zetten, zodat iedereen er misbruik van kan maken.
Rauch weet de kwestie te relativeren. Hij beseft dat zijn ontdekking van de kwetsbaarheid in de AirTag niet de meest dringende veiligheids- of privacy kwestie is. Daarentegen was het volgens hem een probleem dat vrij eenvoudig te verhelpen was. Hij begrijpt dan ook niet waarom Apple daarvoor zoveel tijd nodig had.
Bron: krebsonsecurity.com, vpngids.nl
Apple gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Tips of verdachte activiteiten gezien? Meld het hier.
Phishing gerelateerde berichten
Universiteit Maastricht: Het verhaal & Bevindingen Fox-it
Foto: nos
Digitale haken en wat zijn de nieuwe tactieken P H I S H I N G
Computers en het internet hebben de maatschappij veranderd op een manier die slechts een kwart eeuw geleden ondenkbaar was. Net als bij het echte vissen, proberen cybercriminelen steeds met nieuw soorten aas meer internet gebruikers te vangen. Of het nu door middel van een valse e-mail (phishing) is die interessant lijkt of een beller (vishing) die beweert te zijn van uw bank of een vervalste website login formulier een SMS (smishing) van je bank, Phishing is overal. Het enge ding? Het is winstgevender dan ooit.
Phishing verdrievoudigd
Het aantal gevallen van phishing is verdrievoudigd. Bij de Fraudehelpdesk kwamen dit jaar driemaal zo veel meldingen van phishing binnen. Vorig jaar waren dat er nog zo'n 2.600, dit jaar zijn dat er al bijna 8.200. Sowieso kan 2019 met recht het jaar van de fraude worden genoemd, want ook andere vormen van fraude namen explosief toe.
Apeldoornse it'er via phishing voor 28.000 euro opgelicht
Criminelen gaan online steeds sluwer te werk. Dat blijkt wel uit het schrijnende verhaal van fraudeslachtoffer Frans Hulleman uit Apeldoorn. Hij werd slachtoffer van phishing en spoofing. De 58-jarige IT'er is vorige maand via phishing voor 28.000 euro opgelicht. Op 11 oktober kreeg Hulleman, zogenoemd scrum master bij het Kadaster, een mailtje van zijn bank ABN Amro. Althans, dat dácht hij. ,,Het zag er heel echt uit’’, vertelt hij. Hulleman werd door het zogenaamde ‘cyber security team’ van zijn bank verzocht via een link in de mail in te loggen op zijn bankaccount om zo een overschrijving tegen te gaan. ,,Ik heb op een linkje in de mail geklikt. Achteraf gezien het stomste wat ik ooit heb gedaan.’’
Zorgverzekeraars waarschuwen voor valse mailtjes: klik niet op de link
CZ en Zilveren Kruis waarschuwen voor spookfacturen, waarbij cybercriminelen uit hun naam klanten geld afhandig proberen te maken. Verzekerden worden in valse e-mails en sms’jes gewezen op een betalingsachterstand en gevraagd het bedrag zo snel mogelijk over te maken. “Trap er alsjeblieft niet in. Klik niet zomaar op de betaallink’’, roepen de zorgverzekeraars in koor.
6 miljoen phishing-aanvallen op Mac-gebruikers
Het is een algemene overtuiging dat Apple computers immuun zijn voor malware. Hoewel het risico van aanvallen op de Mac een stuk kleiner is dan dat van hun Windows tegenhangers, kunnen ze nog steeds worden aangetast en geïnfecteerd. Denk maar aan de ransomware die een aantal jaar terug in de torrent-download app 'Transmission' zat verborgen en het lek in de bel-app 'Zoom' eerder dit jaar. Het nieuwe gevaar is phishing volgens Kaspersky.