Lost in the Noise

De afgelopen weken zijn iPhone-gebruikers het doelwit van cybercriminelen geweest die informatie wilden stelen om telefoons te klonen en te witwassen. De phishingaanval deed ontvangers geloven dat ze de garantie op hun iPhone gratis met een jaar konden verlengen. Daarvoor moest men wel het serienummer, IMEI-nummer, soort iPhone en capaciteit van het toestel op een legitiem lijkende Apple website invullen.

Voor het achterhalen van het IMEI-nummer hadden de phishers een link naar de officiële Apple pagina vermeld. Alle links op de website wijzen naar apple.com. “Dit is gedaan om achterdocht tegen te gaan, maar ook omdat het makkelijker voor de auteurs is om een deel van de echte site te kopiëren dan selectief of creatief te zijn”, zegt Richard Cohen van anti-virusbedrijf Sophos. Hij vermoedt dat criminelen via de aanval telefoons willen witwassen.

Klonen
Volgens Fred Felman gebruiken cybercriminelen de gestolen informatie om Apple’s smartphone te klonen. Vervolgens kan men lange-afstandsgesprekken op kosten van het slachtoffer voeren of de telefoon voor allerlei andere criminelen activiteiten te gebruiken. De aanval onderscheidt zich daarnaast wegens het gebruik van geavanceerde technologieën. Zo gebruikt de aanval server-side logica, die de phishingsite verbergt tenzij die door Apple Safari wordt bezocht. Daarnaast wordt de phishingsite via een fast-flux netwerk achter allerlei proxies verborgen. “Deze twee slimme technologieën demonstreren hoe cybercriminelen zich blijven inspannen om hun aanvallen gericht, stiekem en veerkrachtig te maken”, aldus Felman.

(bron: security.nl)

De foto’s die mensen via hun mobiele telefoon maken, bevatten vaak ook locatiegegevens. Inmiddels beschikken veel toestellen niet alleen over een camera’s, maar ook over een GPS, waarmee de locatie van de telefoon is vast te stellen. Samen met informatie over de afbeelding, belandt deze data vaak in de zogeheten EXIF tag. Johannes Ullrich van het Internet Storm Center (ISC) verzamelde ruim 15.000 afbeeldingen van Twitpic.com om zo EXIF tags te onderzoeken.

Locatie
Twitpic dient als dumpsite voor afbeeldingen die Twitteraars in hun berichten opnemen. De telefoon maakt een foto, die de afbeelding vervolgens naar twitpic stuurt en een bericht op Twitter plaatst die hier naar wijst. De meeste Twitpic afbeeldingen staan open voor de hele wereld. Ullrich maakte een script om eenvoudig allerlei afbeeldingen te verzamelen. Een tweede script analyseerde de EXIF informatie die in de afbeeldingen aanwezig was, zoals resolutie en camera oriëntatie. Bij ruim vijfduizend afbeeldingen werd ook het model camera aangetroffen. 399 afbeeldingen bevatte ook de locatie van de camera toen de foto werd gemaakt en bij 102 afbeeldingen was zelfs de naam van de fotograaf vermeld.

De naamsvermelding vindt voornamelijk bij Nikon en Canon fototoestellen plaats en zelden bij “camerafoons”. De meeste afbeeldingen met GPS coördinaten waren via een iPhone gemaakt. Apple’s telefoon voegt ook de meeste EXIF informatie aan afbeeldingen toe. Echt interessante foto’s wist Ullrich niet te vinden, maar het geeft wel aan dat foto’s soms meer informatie bevatten dan mensen beseffen. Voor iedereen die zelf wil gaan grasduinen zijn beide scripts via deze link te downloaden.

Geographic Distribution of Images

(bron: security.nl)