Tag Archives: phishing

Porn site coders expose user info of millions

 

Related:
Infographics: YouPorn Chat Statistics
Podcast: The YouPorn Chat Scandal

 

I got contacted by Alltid Nyheter, from Swedish public broadcasting radio, regarding a thread on Flashback.org, Sweden’s largest web forum. User info of well over a million registered users was openly accessible on the chat site of YouPorn until the server was taken down yesterday.

>> Follow me on Twitter for more IT-security news and fun stuff <<

 

The exposed information contains e-mail addresses and passwords. This information can be used to identify porn consumers, but for some users more than a reputation is at stake.

It is common knowledge that even today a surprisingly large portion of Internet users use the same passwords for many (or all) of the services they use on the Internet, whether it is e-mail accounts, Facebook, PayPal, or other services.

For a security professional it is baffling how coders working on a website with such sensitive content can make mistakes of this magnitude. Allegedly hundreds of megabytes of data has been secured by people with unknown goals. Cyber criminals can easily go through these e-mail addresses and match them with passwords and this way gain access to e-mail accounts. Once they are in, they can secure even more sensitive information to use in phishing attacks, theft, or fraud.

It is difficult not to compare this case with the hacking of porn site Brazzers earlier this year, even though in this case the site wasn’t hacked.

Looking at the data, it seems like a careless programmer accidentally(?!) left debug logging on to a publicly accessible URL as early as November 2007, and it has been storing all registrations ever since.

Yesterday, it was found, probably by ”accident” by someone sweeping websites for publicly accessible, but non-linked (”hidden”) folders, looking for.. either porn or sensitive material like this, and struck gold.

Hackers have already started going through the lists, checking which users have the same password for e-mail or Facebook, and have posted some intimate pictures found in some users sent/received e-mail.

 

Svenska e-postadresser läckta från populär porrsida

Alltid Nyheter, Sveriges Radios nyhetskanal på nätet, hörde av sig till mig igår och undrade om jag kunde svara på lite frågor angående en tråd på Flashback. I tråden berättade en tipsare något väldigt intressant: På en chattserver som under porrsajten YouPorn fanns e-postadresser och lösenord för samtliga registrerade användare sedan 2007 helt okrypterade och öppet tillgänligt utan annat skydd än att de låg i en olänkad mapp.

Om man tittar på tillgängliga data så verkar det som om slarviga programmerare av misstag (eller?) lämnade kvar debugloggning på en öppen URL redan i november 2007. Där har alla registreringar lagrats sedan dess.

Loggarna hittades antagligen av ren tur igår av någon som letade på sidor efter just olänkade mappar på jakt efter pornografi eller just användbart material som det som nu har läckt ut. Det är ett inte helt ovanligt tillvägagångssätt och ofta är det ganska enkelt att gissa sig till namnet på olänkade mappar.

Servern togs snabbt ned av administratörerna, men skadan verkar redan vara skedd – uppgifterna finns redan ute. Det rör sig om uppåt 1,4 miljoner adresser från hela världen och de lösenord de angivit för att logga in på sidan.

Omkring 1400 adresser hade ändelsen .se och får väl anses vara bevisat svenska, men eftersom de allra flesta idag använder adresser från Hotmail och Gmail så är det verkliga antalet berörda svenskar sannolikt mycket högre.

Så vad kan man göra med en läckt e-postadress? Det första och minsta problemet är att det är ganska känsligt med porrsidor, de flesta vill nog hålla sina besök hemliga. Det finns av den anledningen en utpressningsrisk, men den är extremt liten.

Det riktigt stora problemet med det här är att adresserna har läckt ut tillsammans med lösenord. Det är nämligen förvånansvärt många människor som rutinmässigt använder samma lösenord till mängder av olika tjänster. I värsta fall kan alltså den som lägger rabarber på informationen komma åt dessa personers e-post eller Facebook, i annat fall andra tjänster.

Just detta har även hänt här. Hackare har redan börjat gå igenom listorna, och hittat Facebook-konton och e-post de kan komma in på, och har börjat publicera intima bilder som hittats i olika personers e-post.

Som jag skrivit många gånger förr är det oftast e-postkontot som är det viktigaste målet. Kommer man åt ditt e-postkonto är det lätt att komma åt annan information om dig. Den kan till exempel användas för phishing och att stjäla pengar, men man kan också enkelt begära nya lösenord till mängder av andra sidor och registrera nya. Är kaparen skicklig så märker du troligtvis inte heller av att kontot är hackat förrän andra konstiga saker börjar hända.

För ett företag är läckor som denna nästan värre än att få sin sajt hackad, vilket hände porrsajten Brazzers tidigare i år. Troligen sker läckor som denna oftare än vi tror, helt vanliga företag utan porrkopplingar utan att det skrivs värst mycket om det, just för att pornografi är ett känsligt ämne.

Nätfiske – banken som ropade varg?

Alla som har någorlunda koll på IT-säkerhet har känt till phishing eller nätfiske i många år nu – ett fenomen som fortfarande är väldigt populärt och effektivt. Inte sällan drabbas bankkunder av nätfiskeattacker och nu i veckan var det dags för kunderna på Swedbank och SEB. Principen är väldigt enkel: bankkunderna får ett mejl från cyberskurkarna där de uppmanas att klicka på en länk för att t.ex. bekräfta nya inställningar genom att logga in på kontot. Länken leder sedan till en förfalskad sida och skurkarna kan ”fiska upp” uppgifterna som kunden har fyllt i.

Den falska sidan ser oftast väldigt trovärdig ut och är svår att skilja från originalet, men själva brevet borde vara det som avslöjar att det rör sig om en nätfiskeattack. Språket är oftast lite klumpigt och alla bankkunder borde vara medvetna om att ingen bank någonsin skulle be dig att följa en länk och sedan lämna ut dina bankuppgifter.

Apropå nätfiskeattacker. Läste precis om en amerikansk CSO som på en säkerhetskonferens förklarade att de hjälper sina anställda att bli bättre på säkerhet genom att till exempel utsätta dem för fejkade nätfiskeattacker. Japp, de skickar mejl liknande de som bankkunderna ovan har fått.

“When someone falls for a phishing tactic and is attacked it becomes very personal. They don’t forget about it afterwards.”

På ett sätt har de en poäng där, eller? Vad tycker ni? Skulle ni uppskatta om era arbetsgivare eller er bank försökte lura er för att lära er en läxa?

 

1.27 miljoner användare drabbade när webbplats för jobbsökare hackades

Dark Reading rapporterar att Washington Posts hemsida för jobbsökare har hackats och över en miljon användaruppgifter har stulits vid två tillfällen.

Den 27:e och den 28:e juni hämtades tydligen hela webbplatsens användarinformation om jobbsökare och enligt Washington Post själva så var det ungefär 1.27 miljoner användarkonton som påverkades.

De säger att inga lösenord påverkades men däremot e-postadresser. Washington Post säger själva att det troliga resultatet är att de som haft konton på webbplatsen drabbas av en ökad mängd spam till sina e-postadresser.

Det kan ha varit en SQL-injection-attack, men eftersom det var just ID:n och e-postadresser som hämtades och ingenting annat så skulle det även kunna ha varit något problem med autenticering (t.ex. någon sida/funktion som tillät attackaren att få ut e-postadresser genom att skicka olika användar-IDn).

Det som Washington Post INTE nämner är att den mest lyckade attacken mot användarna borde vara riktade phishingattacker. Naturligtvis är det otrevligt med spam, men med de uppgifterna de har finns det många möjligheter att skicka personligt anpassade phishingbrev till jobbsökarna, just för att man vet att de är uppskrivna på den webbplatsen.

Spear phishing alltmer avancerat

Igår läste jag en intressant artikel i Computerworld om hur spear phishing, det vill säga riktat nätfiske, har blivit alltmer sofistikerat. Nätfiskarna gör mer och mer research innan de ger sig på sina offer och all information som finns till hands på nätet gör phishingförsöken mycket trovärdiga. Dave Jevans från Anti-Phishing Working Group säger till tidningen att ”They’re not going for a password anymore, they’re getting people to install crimeware on their computers.”

I TechWorld skriver Tomas Gilså om vad det är dagens hackare är ute efter – information och företagsdata. Mattias Lindholm på FRA säger att både dataintrång och andra angrepp ökar och bekräftar att angriparna inte är ute efter att visa upp sig längre. Nu hackas det yrkesmässigt och på allvar och man tar god tid på sig, inte sällan installeras kod som kan aktiveras vid ett senare tillfälle.

Det känns som om jag har tjatat om samma sak alltför länge nu och Tomas Gilså drar samma slutsatser i sin artikel – det är dags att ta säkerheten på större allvar och sluta ha okrypterad information på privata datorer och bärbara enheter.

Video: Social ingenjörskonst största risken på nätet

Den här kräver ingen närmare förklaring. Jag berättar lite om problemen med social ingenjörskonst och tar upp ett ganska intressant exempel.

Mer från bloggen om social ingenjörskonst och phishing:

 

Nya varningar för spearphishing

Spearphising är riktigt trist trend som jag har uppmärksammat tidigare. Nu går Microsoft ut med en varning där de säger att en av 14 nedladdningar är skadliga och att även om webbläsaren Internet Explorer har inbyggda blockeringsfunktioner mot skadlig kod så struntar fem procent av användarna i varningarna. På så vis laddas ändå trojaner hem och fortsätter spridas.

Det som gör spearphishing till ett så giftigt cybervapen är att koden under en attack skräddarsys efter offret, som därför lockas att klicka på en skadlig länk eller video.

Det tål att sägas igen – klicka inte på länkar, videor, bilder eller meddelanden från okända eller opålitliga källor.

Läs mer om Microsofts varning hos Computer Sweden.

Social ingenjörskonst – ”Paypals” och Facebookplågor

Vissa dagar duggar försöken till lurendrejeri på nätet tätt. Just nu sprids ännu en mask på Facebook som lovar att avslöja vilka som är inne på din sida och snokar.

Håll gärna koll när ni får poster som denna, de sprider sig själva med oerhörd effektivitet och du kommer inte att kunna se vem som varit inne på din profil.

Det trevliga phishingförsöket nedan utger sig för att komma från grabbarna eller tjejerna på PayPal och är också intressant. Det är visserligen undertecknat ”mvh, Paypal”, men den uppmärksamme ser att e-postadressen kommer från domänen paypals.com och inte paypal.com:


Många har nog sett liknande – och äkta – meddelanden från Facebook. De har ju även börjat be användarna att registrera datorer som tillförlitliga, för att kunna vara säkra på att ingen loggar in på konton från underliga platser.

Jag skulle tro att detta nätfiskeförsök är en spin-off på temat och det är ganska troligt att åtminstone någon går på detta mycket kortfattade meddelande och därmed lägger sitt PayPal-konto i händerna på bedragare.

Vad innebär stölden från Epsilon?

Epsilon, ett amerikanskt företag som hanterar e-post åt mängder av stora företag, utsattes för ett stort intrång i helgen. Stöldgodset utgjordes av mängder av e-postadresser. Någon kanske tänker att det inte är så illa om de inte även har lösenord, lite spam har ingen dött av?

I vissa fall kan det vara så, men i det här fallet har förövarna inte bara e-postadress utan även namn på kunderna. Dessutom vet de vilket företag innehavaren av adressen varit kund hos. Den som ofta bor på olika Hilton-hotell eller är kund hos JP Morgan Chase eller US Bank har lättare att svälja ett mejl som kommer från dessa företag.

Här bör vi av den anledningen oroa oss inte bara för vanligt nätfiske genom illa författade spamutskick. Det finns en reell risk för avancerad spear phishing, det vill säga målinriktade attacker på enskilda personer.

Vid sådana här incidenter kan det vara bra med några handfasta tips:

  • Klicka inte på länkar i mejl från exempelvis din bank.
  • Lämna inte över någon form av personlig information eller användaruppgifter via e-post.
  • Kontrollera URL:en i adressfältet. Är du säker på att den är korrekt? Tänk på att det är lätt att sätta upp en falsk sida som liknar den riktiga. Det går dock att se på adressen om allt står rätt till.
  • Använd gärna ett program för att hantera dina lösenord. Det gör det mycket enklare att faktiskt ha olika lösenord till olika sajter och det bör man ha. Lösenordsprogram som har funktionen att även skriva in lösenorden gör det bara på den riktiga sidan, det kan minska risken för dina användaruppgifter når fel personer.

 

Säkerhetsnyheter på rad

Lösenordsbytardagen är kommen. Bra initiativ av PC för Alla. Byt lösenord ibland!

Ett säkert lösenord…

  • Byts regelbundet
  • Har minst 7 tecken, gärna fler
  • Blandar stora och små bokstäver med både siffror och symboler
  • Skrivs aldrig ut i e-post eller chattar

Ett bra tips är att använda ett program för lösenordshantering, det finns flera kostnadsfria lösningar att testa. Själv brukar jag rekommendera KeePass.

The Christian Science Monitor är inte en helt vanlig källa till säkerhetsnyheter för mig, men via Slashdot.org hittade jag en ganska gammal artikel om hur flottiga fingeravtryck på din smartphone gör det enkelt att hacka den. Det gäller särskilt Androidtelefoner där man kan logga in med en gest som i värsta fall lämnar ett tydligt mönster på skärmen. Ett enkelt knep för att undvika detta är att helt enkelt ta för vana att torka av då och då.

Stuxnet har allmänt ansetts vara unikt i sin komplexitet, men på konferensen Black Hat DC kom i dagarna en avvikande åsikt fram, vilket the The Register berättade igår. Säkerhetskonsulten Tom Parker menade att det finns brister i programmeringen som antyder att skaparna inte var de genier som det påståtts. Enligt Tom Parker hade bland annat bättre skriven kod mask inte läckt ut på Internet. Det går dock inte att komma ifrån att Stuxnet utnyttjade flera dittills okända säkerhetshål och faktiskt krävde stora kunskaper inom vitt skilda områden. Det är helt unikt.

IT World skriver om en ny variant av en gammal phishingteknik – det handlar om ett nytt sätt att få in skadlig kod på småföretagares datorer för att via dem komma in på bankkonton. Nu har cyberskurkarna kommit på att man kan föra in skadlig kod via falska jobbansökningar, och företag som vill anställa är lätta att hitta.