Non sei connesso a internet.
Sapere

Ciò che vogliono veramente i digitec Phisher

L’email con lo script malefico inviato dai Phisher è stata analizzata. In questo articolo non solo ti riveleremo la sua funzione ti spiegheremo anche come sbarazzarti di questo parassita.

Quando siamo stati informati del fatto che stavano circolando phishing mail con digitec come intestatario, abbiamo subito avvisato i nostri utenti e ci siamo messi alla ricerca di indizi.

phishing_teaser21.jpeg
Sapere
Dominik Bärlocher
Dominik Bärlocher
Dominik Bärlocher
Editor
  • 49Articoli scritti
  • 0Domande frequenti
  • 0Risposte alle domande
  • 0Valutazioni pubblicate
  • 0Valutazioni commentate
  • 0Discussioni iniziate
  • 0Commenti su altre discussioni
Ulteriori informazioni...
  • 199 55

Indagando le digitec phishing mail

Questo weekend, anziché stare spaparanzati sul divano, Christian Margadant – Head of Technics presso Digitec Galaxus AG – ed il suo team, hanno decriptato e analizzato il codice malefico. “Siamo alquanto sicuri di sapere cosa volesse fare il codice malefico sui computer”, afferma.

Ingegneria inversa con precauzione

Margadant ha analizzato il codice malefico con molta cautela. Infatti, se inavvertitamente avesse fatto partire il codice, ci sarebbero state conseguenze molto gravi per l’intera rete Digitec Galaxus AG. Quando si analizza qualcosa di questo tipo, bisogna innanzi tutto considerare il peggio: dati cancellati, documenti criptati e altro. “Ho esaminato il codice con un notebook che non era collegato né ad internet né alla rete”, afferma. Nel portatile, inoltre – diversamente che nella maggior parte dei computer dei nostri clienti – non vi erano salvati dati personali che sarebbe stato peccato perdere. “Nel peggiore dei casi, avrei ripristinato il notebook e avrei così risolto il problema del malware.”

Il notebook isolato non è però stato utilizzato così a lungo. Margadant ha capito subito che se si metteva solamente a decriptare il codice senza uscire da un contesto sicuro e isolato, il suo computer sarebbe stato al sicuro. E per farlo non ha utilizzato degli strumenti particolari: “Firefox, Developer Console, alcune pagine web e basta. La cosa importante è che il codice malefico da analizzare venga salvato in un documento che non possa venire aperto per sbaglio. Dunque non come documento JavaScript, ma come normale documento di testo”.

La decodificazione passo passo

Il codice malefico spedito con le mail segue uno schema molto semplice. Come piattaforma iniziale viene utilizzato un documento word, ciò significa che il codice sale a bordo con questo mezzo, prima di far partire funzioni complesse. Questa seconda parte più complessa è criptata, ma può essere semplicemente decriptata. “Da qualche parte nel codice si trova una funzione che rivela tutti i caratteri utilizzati e necessari per la decodificazione”, dichiara Margadant, “appena la trovo, la posso utilizzare contro il malware e posso dunque decriptare il codice.”

Nella prima fase di decodificazione Margadant ha avuto fortuna. Non solo ha trovato altri blocchi criptati, ha beccato anche pezzi di testo in chiaro, che ha potuto leggere. Ancor meglio: “Il codice è molto ben commentato. Così ho semplicemente letto ciò che fa la parte non criptata.” E questo indica chiaramente che non si tratta di un lavoro di un professionista. Infatti, i commenti aiutano un cosiddetto Script Kiddie (qualcuno che utilizza software prefabbricati) a compilare e adeguare autonomamente il codice. Tuttavia, gli altri pezzi criptati del codice denotano un intervento più professionale.

Ora, visto che il codice è stato interamente decriptato, possiamo dirvi cosa faccia esattamente il malware.

Cosa combina il malware con il tuo computer

Prima la buona notiza: i tuoi dati non vengono né cancellati né criptati. Poi la cattiva: il tuo denaro non è più al sicuro. Ora ti spiego una cosa alla volta.

In una prima fase il malware prepara il terreno per operazioni più complesse.

  • Viene effettuato l’accesso del tuo indirizzo IP
  • Vengono installati dei certificati
  • Vengono create nuove voci di registro

Questo non è intrinsecamente dannoso, ma offre un terreno maledettamente fertile per altri malware. Saranno soprattutto i certificati ad avere un grosso peso nelle fasi successive.

In una seconda fase vengono effettuati dei download. Nessuno dei programmi scaricati è in sé un malware o, in parole povere, cattivo. Al contrario. In alcune parti del mondo essi sono fondamentali per la sopravvivenza digitale.

Il malware fa così partire TorBrowser e Proxifier. Per tenerli costantemente in funzione dietro le quinte, li definisce Scheduled Task (processi pianificati). Naturalmente, questi processi di sottofondo vengono mascherati.

  • Il processo Proxifier mascherato si chiama MicrosoftUpdate
  • Il processo Tor mascherato si chiama SkypeUpdateTask

Ora ti mostro innanzi tutto cosa fa esattamente il software. Proxifier viene munito di un profilo e inoltra richieste di determinate pagine web a un route controllato da terze parti. Ecco le pagine web:

  • *postfinance.ch
  • cs.directnet.com
  • eb.akb.ch
  • .ubs.com
  • tb.raiffeisendirect.ch
  • *.bkb.ch
  • *.lukb.ch
  • *.zkb.ch
  • *.onba.ch
  • e-banking.gkb.ch
  • *.bekb.ch
  • wwwsec.ebanking.zugerkb.ch
  • netbanking.bcge.ch
  • *.raiffeisen.ch
  • *.credit-suisse.com
  • *.bankaustria.at
  • *.bawagpsk.com
  • *.raiffeisen.at
  • *.static-ubs.com
  • *.bawag.com
  • *.clientis.ch
  • clientis.ch
  • *bcvs.ch
  • *cic.ch
  • www.banking.co.at
  • *oberbank.at
  • www.oberbank-banking.at
  • *baloise.ch
  • *.ukb.ch
  • urkb.ch
  • *.urkb.ch
  • *.eek.ch
  • *szkb.ch
  • *shkb.ch
  • *glkb.ch
  • *nkb.ch
  • *owkb.ch
  • *cash.ch
  • *bcf.ch
  • *.easybank.at
  • ebanking.raiffeisen.ch
  • *.onion
  • *bcv.ch
  • *juliusbaer.com
  • *abs.ch
  • *bcn.ch
  • *blkb.ch
  • *bcj.ch
  • *zuercherlandbank.ch
  • *valiant.ch
  • *wir.ch

Da questa lista di banche possiamo dedurre che i Phisher vogliano colpire clienti bancari svizzeri e austriaci. Ciò significa che gli aggressori sanno esattamente chi vogliono affrontare. Questo script poteva essere divulgato solo in Svizzera e in Ausrtria, poiché sarebbe totalmente inefficace per i clienti bancari di altri paesi. Ma ai clienti bancari svizzeri e austriaci succede questo: quando accedete al vostro sistema E-Banking, qualcun altro può leggere i vostri trasferimenti. Si tratta dunque di un classico attacco Man in the Middle.

In un attacco Man in the Middle la comunicazione tra user e host viene inoltrata a una terza parte, che legge tutto.

Visto che Christian Margadant ed il suo team non hanno accesso alle pagine sul Dart Net, il nostro Head of Technics conclude con queste due possibilità:

  1. I siti Darknet non sono ancora o non sono più online
  2. I siti Darknet accettano solo POST, accolgono dunque solo dati e rifiutano i GET, che sono necessari per l’utente, per poter visualizzare i dati del server nel browser.

Come sbarazzarti del malware

La soluzione più semplice e accurata per liberare il tuo sistema dal malware è quella di riavviare completamente il tuo programma Windows. È la stessa conclusione a cui è arrivato anche il nostro utente Deville_TGR nel nostro precedente articolo.

Vuol dire installare nuovamente l’OS?

Esattamente. Anche se ciò non è sempre possibile o voluto, e spesso non è neanche consigliato. Nel caso in cui tu non voglia o non possa installare nuovamente il tuo Windows, a parte il primo consiglio che ti dato nel primo articolo, ti possiamo suggerire anche quanto segue:

  1. Apri Task Manager ed esamina i processi
  2. Forza la chiusura di tor.exe e proxifier.exe. Secondo il nostro stato di conoscenza attuale, se non trovi i processi vuol dire che non sei stato infettato.
  3. Vai su Start → Esegui e inserisci taskschd.msc
  4. Premi il tasto invio
  5. Cancella entrambi gli incarichi SkypeUpdateTask e MicrosoftUpdate sotto Scheduler Library (biblioteca pianificata)
  6. Vai su Start --> Esegui e inserisci %appdata%
  7. Premi il tasto invio
  8. Se trovi la cartella TP cancellala
  9. Vai su Start --> Esegui e inserisci %temp%
  10. Premi il tasto invio
  11. Se trovi la cartella TS cancellala
  12. Cancella il tuo vecchio profilo Firefox e creane uno nuovo
  13. Vai su Start-->Esegui e inserisci certmgr.msc
  14. Premi il tasto invio
  15. Cancella tutti i certificati COMODO Certificate Authority 1

Questo metodo contiene la minaccia ma lascia delle tracce.

  • 7Zip rimane sempre nel tuo sistema come data garbage, ma non è dannoso.
  • Anche le voci di registro rimangono e sono inoffensive. Se vuoi rimuoverle del tutto puoi usare un software come CCleaner.

Meno efficace su Windows 10

Christian Margadant ha fatto partire lo script in condizioni controllate e può dire in tutta sicurezza che si tratta di un attacco Man in the Middle. E non è tutto: lo script è identico a quello del file inviato da un mittente che si spaccia di essere delle FFS, ma che in realtà viene mandato da sbbclient@sbb.rs v.

Gli utenti di Windows 10 hanno fortuna. Il più nuovo sistema operativo Microsofts riconosce il file JavaScript che vuole far partire l’intero codice malefico – secondo le definizioni di in Windows Defender v1.231.1459.0 dell’8.11.2016/10:24 – come dannoso e gli impedisce l’esecuzione. Anche le voci di registro non vengono create e i certificati vengono installati solo dopo aver ricevuto conferma da parte dell’utente.

User

Dominik Bärlocher

Giornalista. Autore. Hacker. I miei temi hanno a che fare principalmente con Android o Apple iOS. Anche la sicurezza informatica è molto importante per me, poiché oggi la privacy non è più una questione secondaria, è una strategia di sopravvivenza.

63 Commenti

User diego.romero

well done, csi:digitec. horation caine würd seine sonnenbrille vor euch ziehen!

16.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User luberg

Versprochen und geliefert :-)

16.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User Twosaabs

Very interesting! Thank you guys for taking the time and open approach to investigate and explain your findings. You're a fresh change from the usual way companies handle such issues!

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User a.fulgens.87

... and to give detailed instructions how to mitigate the issue, if you are infected. Kudos!

20.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User Baktun

Sehr interessant. Gute Arbeit!

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User xama100

Warum wurde denn nicht einfach eine VM verwendet? Die kann man ja einfach in den Papierkorb verschieben, sollte was schief gehen.
Wäre zumindest weniger Aufwand als den Laptop neu aufzusetzen. Just saying ..

16.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Drachenherz

Weil es gewisse Schadsoftware gibt, die erkennen kann, dass sie in einer VM-Umgebung ist und dann den bösartigen Code nicht ausführt - und somit unter Umständen nicht analysiert werden kann.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User 351cui

Wow sehr interessanter Aufschluss... Gut das ich Debian 8.x und ein Backup habe :}

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User nicolas_07

This is a great article, thanks for taking the time to write and translate it!

Is there some sort of task force looking at cyber security in Switzerland? Seeing the profile of the targets (Swiss banks) and vectors/victims (Digitec, SBB, etc.), surely this is one of the most major attack aimed at CH

19.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User BrunelliPrime

In deed there is:
melani.admin.ch/melani/en/h...

20.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User benidi

und wie sieht es bei mac aus?

16.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User andreas_kocher

Der Angriff wird auf einem Mac nicht einfach so funktionieren. Er verfügt über keine Registry und auch die zusätzlichen Programme sind nicht die selben. Daher könnte sich die Schadsoftware nicht auf dieselbe Weise installieren. Hier müsste das Skript explizit auch für den Mac was parat haben. Kann ich daher nicht abschliessend beurteilen. Mit dem beschriebenen Weg von Digitec wird die Software auf einem Mac aber keinen Erfolg haben können.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User alain1989

Vermutlich ist diese Malware auf dem Mac unwirksam. Viele verwechseln dies jedoch mit dem Statement Mac ist generell sicherer. Das stimmt nicht wirklich, der einzige Grund warum der Mac so wenig betroffen ist, ist sein extrem geringer Marktanteil.
Niemand wird sich die Mühe machen eine Malware für ein Betriebssystem zu kreieren das nicht einmal 8% Marktanteil hat.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User abibossotto

@Alain1989: Sorry, aber das ist Unsinn. Die Grundlage von macOS (ex OSX) ist Unix. Unix ist per se weniger anfällig für solche Angriffe... Das hat mit dem Marktanteil nichts zu tun. UNIX-Betriebssysteme gehen anders mit Dateien und Benutzerberechtigungen um.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Manu9511

@Abibossotto: Da stimme ich dir voll und ganz zu. Auf ca 55% aller Webserver laufen UNIX-ähnliche Betriebssysteme genauso wie auf ca 10% aller Desktop PCs und bei den Smartphones sind es ungefähr 60%. Es wäre also äusserst lukrativ Malware für UNIX-ähnliche Systeme wie macOS, BSD und Linux (Android gehört auch zu Linux) zu schreiben, um Firmen und nebenbei private Personen zu erpessen oder zu bestehlen. Microsoft hat leider etwas seltsame Vorstellungen von Sicherheit.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User shakaliv

@abibossotto: Blöd nur das viele Mac-Benutzer (wie auch Windowsbenutzer) zu einfache Passwörter oder noch schlimmer gar kein Passwort benutzen...

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User artempulki

<sarcasm> Could you please also post a step-by-step instruction to install the malware on linux? </sarcasm>

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User JSFighters

Ich habe das Mail nicht von einer SBB adresse bekommen sondern von Postfinance.cz und zwar heute

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Dominik Bärlocher

Die Phisher verwenden eine Vielzahl von Adressen. Es ist also gut möglich, dass du Mails von vermeintlich grossen, schweizer Firmen erhältst, die mit einem nahezu identischen Script daherkommen.

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User compr00t

Das Ganze nennt sich Dridex Trojaner und hat nichts mit Digitec per se zu tun, sondern wird in unzähligen Spam-Mails verbreitet. Insofern ist das auch kein Phishing-Mail sondern Spam.

19.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User puerrom13

Spam ist Werbung.

Phishing dagegen ein Versuch an persönliche Daten zu kommen, zwecks Betrug. Das hier ist also definitiv Phishing!

Wikipedia:
Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den ent

25.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User Patrick S. aus B.

Interessanter Bericht, Danke?
Gebt Ihr dieses Wissen auch an die Strafverfolgungsbehörden oder staatliche Stellen wie MELANIE weiter?
Wie sieht es mit Anti-Virusherstellern aus?

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User shakaliv

Hast du den Artikel gelesen? Windows 10 ist sicher in dieser Hinsicht, da zumindest Microsoft schon in Kenntnis gesetzt ist. Man muss davon ausgehen, dass auch Namhafte Antivierenherstellter das Script als gefährlich eingestuft haben!

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User compr00t

Dridex, so heisst die Malware, wird seit knapp einem Jahr mit ähnlichen Pattern verbreitet. MELANIE hat auch schon Infos dazu veröffentlicht, ist also bekannt.

19.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Patrick S. aus B.

Danke Compr00t, ich habe den Link inzwischen gefunden: melani.admin.ch/melani/de/h...
(Sorry für den Tippfehler im Namen der Meldestelle. MELANI schreibt sich ohne E am Schluss).

20.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User elawem

Digitec proves once again its commitment towards the transparency policy. I highly appreciate this effort.

08.12.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User nevinconstantin

Amazing! Glad to see that companies still care about their customers like Digitec. The guys that found this should get a raise :)

ieri 10:05
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User Tobeornottobe

Super Bericht!
Verständnisfragen:
1. Wie kann die heruntergeladene Software installiert werden ohne Administratorrechten? Oder wird beim Öffnen des Anhangs ein Administratorprompt zur Bestätigung geöffnet?

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Tobeornottobe

2. Bei Banken ist doch relativ einfach zu erkennen, ob ein anderes Zertifikat installiert wurde, da Banken ein Extended Validation (EV) SSL Certificates verwenden und somit der Namen im Browser zusätzlich angezeigt wird (bei Chrome z.B. rechts vom Schloss)?

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Anonymous

Bei der ersten Frage kann ich dir auch gerade nicht helfen, aber ich nehme stark an, dass es irgendwelche Hintertüren gibt...
Bei der zweiten Frage jedoch: Schaust du dir jedes Mal beim E-Banking dein Zertifikat an/Bemerkst du den Namen rechts vom Schloss? Ich denke, die meisten Nutzer würden eine Änderung dort nicht bemerken.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Tobeornottobe

Seit ich weiss wie schnell ein Zertifikat erstellt ist, schaue ich jedes Mal beim E-Banking kurz auf das Schloss :)

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Dominik Bärlocher

Zu deinen Fragen:

1. Die Phisher aus der vorliegenden Attacke verwenden Software, die ganz ohne Administratorenrechte auskommt. Also brauchen sie gar keine Hintertürchen oder ähnliches.

2. Das ist richtig. Doch der Schein trügt. Ich mache oft auch den Blick zum Zertifikat, aber das heisst noch lange nicht, dass das jeder tut. Wenn jeder so sicherheitsbewusst wäre, wie du und ich, dann hätte das Phishing Mail an sich schon keine Chance.

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Anonymous

Es wird ein gültiges Zertifikat auf die echte Domain ausgestellt. Das Script installiert ein Root Zertifikat, darum können "die" gültige Zertifikate für jede beliebige Domain ausstellen. Du Vertraust der "bösen" CA.

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User compr00t

Und wieso ist Windows 10 "sicherer" als andere Windows Versionen? Es scheint ja Windows Defender zu sein der blockiert und den gibt es auch schon in früheren Versionen...

19.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User ursdaniel

DRum habe ich für bankzahlungen einen eigenen lapi,der wird nicht zum sirfen benutzt und damit werden keine mails gelessen ,der wird wirklich nir für zahlungen benutzt,also sollte der logischerweisse auch sauber bleiben.

20.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User schaedld

Interessant wäre an der ganzen Sache, ob man als Administrator angemeldet sein muss (Registry Einträge). Die meisten lassen sich eh als Admin und geben so jedem Angreifer die Chance dies auszunützen...

20.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Toelpel

Administratorenrechte sind nicht erforderlich, Software wird nur entpackt, RegistrySettings werden in HKCU gemacht und Zertifikat im Benutzer-Zertifikatsspeicher installiert.

28.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User mstanescu

". Furthermore, the laptop contained no personal data that would have been missed should things have gone wrong – so pretty much the opposite of computers used by our customers. “At worst, I would have re-set the laptop and solved the malware problem that way.”"

how about just running a VM?

20.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User bugsisnotdead

Danke

21.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User f.testa

Was passiert auf OSX? Auch gefärlich oder nicht?

23.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Toelpel

Nein, keine Gefahr für OSX, die Schadsoftware zielt nur auf Windows-Betriebssysteme

28.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User caliskanvolkan

Very nice article and detailed explanation. Interesting to read and learn about these stuff. Great job Digitec and Dominik. Thank you.

24.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User DrYak

Once again, we Linux users are left in the dust~~~

More seriously : it's strange that they didn't try to MitM-attack also URLs of update website (antivirus, OS) to prevent update of anti-malware and virus definitions. (like blocking access to kaspersky's domain and similar)

24.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User DavideCanavesi

very cool article!

25.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User floriansch1

Super das ihr euch die Mühe gemacht habt das Ganze transparent zu machen und gut verständlich mit den Kunden teilt. Technik kann viel schützen, aber nie die Teile die beim Menschen liegen.

26.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User cdesilva

Well done for taking security seriously and taking ownership to help resolve it in this open way. A lot of companies could learn from this (I am looking at you, LinkedIn).

29.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User o.esseiva

Bravo. Hervorragender Artikel, wirklich sehr interessant.

04.12.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User Sokarow

This is a very good article but I have a, probably stupid, question: were MacOS users targeted by the attack? Thank you in advance for the answer!

07.12.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Dominik Bärlocher

Hi there

This particular attack is not effective on Mac as it relies on Windows file formats with installers and certain key functionalities. As another commenter pointed out, that does not mean that Macs are generally more secure, even though - as another commenter says - its Unix base does give it a slight edge.

What I'm trying to say is that even though this particular phishing attack doesn't appear to have any Mac specific components does not mean that Macs are invulnerable to phishing. It's still heavily recommended that you don't open dodgy mails or attachments that seem somewhat odd.

08.12.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User R3lay

Was bringt das dann? Es verwenden ja alle Banken eine 2-Faktor-Authentifizierung mit Einmalcode, zB bei der UBS würde der Angreifer gerade mal meine Vertragsnummer rausfinden.

16.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Anonymous

Ja. Wenn du dich Erfolgreich ein Logst, könntest du auf eine "Fake" seite umgeleitet werden.
Währenddessen könnte theoretischen was abgebucht werden.
Aber vermutlich Nicht in diesem fall. Aber ein Provi...

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User andreas_kocher

Es geht darum, dass die komplette Verbindung zwischen deinem Computer und der Bank mitgelesen wird. Das ist wie wenn du einen Brief zuklebst und er unterwegs geöffnet und wieder verklebt wird. Daher kann der Angreifer sehr wohl mitmischen, sobald du dich erfolgreich im E-Banking eingeloggt hast. Die Zwei-Weg-Authentifizierung hilft hier also nicht wirklich was.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User SRR24x7

" «Im schlimmsten Falle hätte ich den Laptop einfach wieder neu aufgesetzt und das Problem der Malware wäre damit behoben.»
Scheinbar noch nie einen wirklich guten Virus gesehen? Habe schon Schädlinge gesehen die sich im Speicher von Komponenten eingenistet haben, da hilft sowas nicht.

20.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.

User Anonymous

"Detail" am Rande - das ist nicht mal Ansatzweise man ind the middle. Hier geht es darum Passwörter abzureifen.
Es wird eine gefälschte Loginseite auf ubs.com oder whatever eingerichtet. Mit gültigem Zertifikat, grünem Balken und und was dazu gehört. Root Zertifikat, TOR und Proxy - clever gemacht.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Softloader

"Denn Proxifier wird mit einem Profil versehen. Es leitet Anfragen an bestimmte Websites über eine von Dritten kontrollierte Route weiter. Diese sind:" Ab da ist es MITM Attack. Sollte logisch nachvollziehbar sein. Die Daten gehen von User 1 -> Router (Hacker) -> Bank. Man in the "middle".

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Anonymous

Ja, da gebe ich dir recht, ABER ich kenne das Teil, das funktioniert (noch) nicht so.
Statt MITM wird dir eine andere Loginseite angezeigt. Es geht schlicht und einfach darum User und PW abzugreifen. Dank 2 factor authentication nicht ganz so tragisch.

Aus der Ausgangslage kann man aber eine schöne MITM basteln.

17.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Softloader

Ich weiss was Du meinst. Was Du aber mit deinem Login und der falschen Seite ansprichst ist die Phishing Methode und hier kombiniert mit einer MITM. Mann kann logischerweise auch einfach eine Phishing Seite einrichten und dann Digitex.ch nennen und hoffen es verschreiben sich viele Personen denen die Domain dann nicht auffällt. Dann wäre es keine MITM aber ein direkter Phishing 'Angriff'. Da diese Methode, hier beschrieben, aber ausgefeilter ist, kommt die MITM als Kombination gelegen.

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User Anonymous

Nein, der Traffic landet nie beim eigentlichen Ziel. Nur weil da eine Proxy verwendet wird ist es noch lange keine MITM. Bei der MITM Attacke kommunizierst du mit dem "echten" Ziel und jemand hört mit. Das ist hier nicht der Fall....

18.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

User compr00t

Falsch. MITM heisst es ist jemand in der Mitte. Er kann mitlesen, verändern oder blockieren. Selbst wenn er Traffic komplett blockiert, bleibt es MITM.

19.11.2016
Segnala abuso

Devi essere connesso al tuo account per segnalare un abuso.

Effettua il login per poter rispondere al commento.


Per favore, effettua il login.

Devi effettuare il login per scrivere un nuovo commento.

Corporate logo