Securityspecialist Brian Krebs adviseert Apple-gebruikers om op te passen met 'AirTags' die ze op straat vinden. Met de ingebouwde NFC-chip in iPhones kunnen eerlijke vinders achterhalen wie de eigenaar van de verloren AirTag is. Hackers en cybercriminelen kunnen deze feature misbruiken om nietsvermoedende slachtoffers om te leiden naar een phishing-pagina.
Apple Air Tag
In april van dit jaar onthulde Apple haar nieuwste accessoire: de AirTag. Het is een klein, rond apparaatje dat je helpt om kwijtgeraakte spullen terug te vinden. Gebruikers bevestigen een AirTag aan spullen waar ze waarde aan hechten, zoals een rugzak, handtas of sleutelbos. Met het wereldwijd ‘Zoek mijn’-netwerk vinden ze hun verloren spullen weer terug. Men ziet dus in een oogopslag of een iPhone bijvoorbeeld nog in de sportschool of elders ligt.
Wie een AirTag kwijtraakt, moet de verloren modus inschakelen. Apple maakt dan een speciaal gegenereerde URL aan om deze specifieke AirTag te identificeren. Iemand die er een op straat vindt, kan met behulp van de NFC-chip in zijn iPhone informatie opvragen over de eigenaar en hem teruggeven.
Phishing en malware
Bij de laatste stap is het mogelijk om mensen op te lichten, zo schrijft Brian Krebs. Normaal gesproken verschijnen het telefoonnummer en aanvullende informatie in beeld zodra je een gevonden AirTag scant. De beveiligingsspecialist zegt dat oplichters een computercode kunnen invoeren die hen doorstuurt naar een nagemaakte Apple iCloud login pagina.
Doorgewinterde Apple-veteranen weten dat je niet hoeft in te loggen als je een gevonden AirTag scant met NFC-chip. Minder fervente gebruikers beseffen dat mogelijk niet en voeren zodoende hun inloggegevens in. Zonder dat ze er erg in hebben verstrekken ze hun gebruikersnaam en wachtwoord aan hackers. Deze vorm van oplichting, waarbij cybercriminelen zoveel mogelijk persoonlijke informatie van slachtoffers proberen buit te maken, noemen we phishing.
Phishing is niet het enige gevaar dat eerlijke vinders lopen. Hackers kunnen tevens een poging doen om malware te installeren bij hun slachtoffers, zoals een keylogger, spyware of fleeceware. Daarmee is het mogelijk om wachtwoorden van online diensten te stelen, online activiteiten in de gaten te houden of slachtoffers dure abonnementen aan te smeren.
Weaponized AirTag
Krebs zegt dat beveiligingsconsulent Bobby Rauch de kwetsbaarheid ontdekte. In juni nam hij contact op met Apple om ze bij te praten over deze ‘weaponized AirTag’. Drie maanden lang hoorde hij niets van het Amerikaanse technologiebedrijf: hij moest genoegen nemen met de mededeling dat medewerkers de kwestie onderzochten.
Afgelopen week kreeg Rauch het bericht dat Apple binnenkort een update uitrolt om het lek te dichten. Het bedrijf vroeg of hij in de tussentijd de kwetsbaarheid voor zich wilde houden en er niet publiekelijk over wilde praten of schrijven. Dat schoot hem in het verkeerde keelgat. Apple weigerde namelijk om antwoord te geven op verschillende vragen. Zo wilde Rauch weten of Apple hem de eer zou geven voor de ontdekking van het lek, en of hij aanspraak kon doen op een beloning uit het Apple Bug Bounty programma.
Uit onvrede over de wijze waarop Apple communiceert met mensen die een ernstige kwetsbaarheid aan de kaak stellen, besloot Rauch om zijn bevindingen te publiceren op Medium. “Ik heb ze gezegd: ‘Ik ben bereid met jullie samen te werken als jullie wat details kunnen geven over wanneer jullie van plan zijn dit te verhelpen, en of er een erkenning of uitbetaling zou plaatsvinden”, zo vertelt de beveiligingsconsulent aan Brian Krebs. Hij gaf Apple negentig dagen de tijd om te reageren voordat hij zijn bevindingen zou publiceren. “Hun antwoord was in feite: ‘We zouden het op prijs stellen als je dit niet zou lekken’.”
Ontwikkelaars en security experts
Volgens Krebs klagen meerdere ontwikkelaars en security experts dat Apple niet goed met hun omgaat als ze een lek bij het bedrijf melden. Eén van de klachten is dat de iPhone-maker teveel tijd nodig heeft om kwetsbaarheden te patchen. Andere veelgehoorde klachten zijn dat Apple lang niet altijd de eer toekent aan de ontdekker, vaak weigert om te betalen en dat onderzoekers vaak geen feedback krijgen van Apple.
Krebs wijst erop dat dit een gevaarlijke ontwikkeling is. “Het risico is natuurlijk dat sommige onderzoekers besluiten dat het minder moeite kost om hun exploits te verkopen aan hackers of aan de hoogste bieder op het dark web, die beide vaak veel meer betalen dan de prijzen voor Apples Bug Bounty programma.” Een andere optie is dat gefrustreerde security onderzoekers hun bevindingen gewoon online zetten, zodat iedereen er misbruik van kan maken.
Rauch weet de kwestie te relativeren. Hij beseft dat zijn ontdekking van de kwetsbaarheid in de AirTag niet de meest dringende veiligheids- of privacy kwestie is. Daarentegen was het volgens hem een probleem dat vrij eenvoudig te verhelpen was. Hij begrijpt dan ook niet waarom Apple daarvoor zoveel tijd nodig had.
Bron: krebsonsecurity.com, vpngids.nl
Apple gerelateerde artikelen 》
Bekijk alle vormen en begrippen 》
Tips of verdachte activiteiten gezien? Meld het hier.
Phishing gerelateerde berichten
"Iedereen, ongeacht zijn ervaring of kennis van cybersecurity, is vatbaar voor een phishing-aanval"
Uit het phishing-onderzoek van Ivanti blijkt dat 80% van de respondenten een toename ziet van het aantal phishing-pogingen en 85% zegt dat de aanvallen steeds geavanceerder worden. Verder was bij 73% van de respondenten het IT-personeel het doelwit van phishing, waarvan 47% van de pogingen succesvol waren. Nieuwe vormen van oplichting als smishing (phishing via tekstberichten) en vishing (phishing via spraakberichten) zijn sterk in opkomst en specifiek op mobiele gebruikers gericht. Volgens recent onderzoek van Aberdeen hebben aanvallers een hoger succespercentage op mobiele devices dan op servers, en die trend lijkt te verergeren. Inmiddels bedraagt het jaarlijkse financiële risico van een datalek als gevolg van mobiele phishing-aanvallen ongeveer 1,7 miljoen dollar, wat kan oplopen tot een maximum van ongeveer 90 miljoen dollar.
Cybercriminelen proberen via PDF bestanden e-mailgegevens van bedrijven in handen te krijgen
Bij de nieuwste truc van phishers in hun pogingen om e-mailgegevens van bedrijven in handen te krijgen gaat het om meldingen die van online diensten van Adobe afkomstig zouden zijn. En omdat ze begonnen zijn met het gebruik van een online pdf-bestand (dat zogenaamd op de website van Adobe staat), hebben we een echt bestand gemaakt om de tekenen van een phishing-e-mail en een valse “online pdf” hier te bespreken.
Phishing meest voorkomende start cyberincident bij middelgrote en kleine bedrijven
Een cyberaanval op middelgrote en kleine bedrijven (MKB) heeft ernstige gevolgen voor de bedrijfsvoering. De helft van de ondernemers vreest dat zo’n aanval het einde van zijn bedrijf betekent. De grootste bedreiging voor het MKB is echter geen cyberaanval, maar phishing.
OM: "Door cybercrime en de panels van de verdachte is het vertrouwen in het betalingsverkeer teruggelopen"
Het Openbaar Ministerie eist vier jaar cel en een boete van 50.000 euro tegen een 20-jarige man uit Almelo. Hij leverde phishing panels aan cybercriminelen waarop professioneel ogende nepsites van banken draaiden. De officier van justitie beschouwt hem als een ‘belangrijke facilitator’ van cybercrime.
Phishers voegen maar liefst 12 banken toe om het echt te laten lijken
Wie zaken doet via Marktplaats, moet altijd op zijn hoede zijn als een (ver)koper vraagt om een rekeningnummer te verifiëren. In een nieuwe variant van deze oplichtingstruc hebben oplichters een levensechte website van betaaldienst Tikkie nagebouwd. Slechts aan de url kun je zien dat je met een nepsite te maken hebt. Let je even niet op? Dan is je rekening binnen de kortste keren geplunderd.
Criminelen zijn creatief: Verificatieverzoek via Marktplaats
Er is een nieuwe variant opgedoken van de oplichtingstruc waarbij je via WhatsApp een Marktplaats-verificatieverzoek moet voltooien. De layout van de nagemaakte 'Marktplaats'-website is anders dan gebruikelijk, maar wel levensecht wat betreft zaken als huisstijl. Dit keer hopen oplichters klanten van maar liefst elf banken ertoe te verleiden om inloggegevens voor internetbankieren af te staan, met alle schadelijke gevolgen van dien. Zo herken je deze site.